Selon Malwarebytes, des acteurs malveillants mènent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en détournant les commandes d’installation en un clic pour livrer un infostealer.

Les attaquants reproduisent à l’identique des pages de documentation/téléchargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exécuter des « one‑liners » (ex. curl | bash) qui s’exécutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observé est l’infostealer Amatera, ciblant mots de passe enregistrés, cookies, jetons de session, données d’autoremplissage et informations système, avec des rapports signalant aussi un intérêt pour des portefeuilles crypto et comptes à forte valeur.

Le piège commence souvent par une recherche (« Claude Code install », « Claude Code CLI ») menant à un résultat sponsorisé au nom plausible. La page clonée redirige discrètement la plupart des autres liens vers le site légitime, ce qui réduit les signaux d’alerte. L’utilisateur copie-colle alors la commande malveillante en croyant installer l’outil, tandis que le véritable chargeur s’exécute en arrière‑plan.

Côté macOS, le one‑liner récupère un second étage depuis un domaine contrôlé par l’attaquant, souvent obfusqué en base64, puis télécharge et lance un binaire depuis un autre domaine après l’avoir rendu exécutable. Côté Windows, la commande lance d’abord cmd.exe, qui appelle mshta.exe avec une URL distante, tirant parti d’un binaire Microsoft de confiance pour masquer l’exécution. Dans les deux cas, l’infection est silencieuse et passe pour une installation réussie.

L’impact vise le détournement de sessions Web et l’accès à des tableaux de bord cloud et à des panels administrateur internes sans mot de passe, ainsi que l’exposition d’environnements développeur. La campagne est conçue pour toucher Windows et Mac.

TTPs observées:

  • Clonage de pages d’installation + résultats sponsorisés (malvertising) 🎯
  • One‑liner de type « curl | bash » pointant vers un domaine attaquant; second étage et obfuscation base64
  • Exécution « living-off-the-land » via cmd.exe → mshta.exe avec URL distante (Windows)
  • Téléchargement d’un binaire, suppression/ajustement d’attributs puis exécution (macOS)

L’article est une analyse de menace visant à exposer la technique InstallFix et le rôle d’Amatera dans cette campagne, avec un rappel des bonnes pratiques et outils de protection.

🧠 TTPs et IOCs détectés

TTPs

Clonage de pages d’installation, malvertising avec résultats sponsorisés, utilisation de one-liners de type ‘curl | bash’, obfuscation base64, exécution living-off-the-land via cmd.exe et mshta.exe, téléchargement et exécution de binaires après ajustement d’attributs

IOCs

Domaine contrôlé par l’attaquant (non spécifié), URL distante utilisée par mshta.exe (non spécifiée)

🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/03/fake-claude-code-install-pages-hit-windows-and-mac-users-with-infostealers