Fake Claude Code install guides push infostealers in InstallFix attacks

1 minute de lecture

Mis à jour : March 06, 2026

Menace InstallFix : Des guides d’installation factices pour voler vos données

Des cybercriminels exploitent une variante de l’ingénierie sociale appelée « InstallFix » pour propager des logiciels malveillants. En utilisant des publicités malveillantes (malvertising) sur Google, les attaquants dirigent les utilisateurs vers des sites clonés, reproduisant fidèlement la documentation officielle d’outils populaires comme Claude Code. L’objectif est d’inciter les développeurs à copier-coller des commandes d’installation malveillantes dans leur terminal.

Points clés :

Technique : Les attaquants clonent des pages de documentation légitimes et insèrent des commandes curl-to-bash (macOS) ou des scripts PowerShell/CMD (Windows) malveillants.
Leurre : Une fois la commande exécutée, le site redirige vers le vrai service (ex: Anthropic), laissant la victime croire que tout a fonctionné normalement.
Infection : Le logiciel malveillant déployé est le Amatera Stealer, un infostealer capable de dérober des portefeuilles de cryptomonnaies, des identifiants, des cookies et des jetons de session.
Persistance : Les sites frauduleux sont hébergés sur des plateformes légitimes comme Squarespace ou Cloudflare, ce qui renforce leur crédibilité.

Vulnérabilités :

Aucune CVE spécifique n’est associée, car il s’agit d’une exploitation de l’ingénierie sociale et d’une confiance excessive envers les commandes curl-to-bash copiées depuis des sources web non vérifiées.

Recommandations :

Vérification : Obtenez toujours vos instructions d’installation exclusivement sur les dépôts officiels (GitHub, sites web de l’éditeur) en accédant directement à l’URL.
Prudence publicitaire : Ignorez systématiquement les liens « Sponsorisés » (annonces) dans les moteurs de recherche pour le téléchargement d’outils techniques.
Inspection : N’exécutez jamais une commande de script trouvée en ligne sans analyser son contenu au préalable.
Bonnes pratiques : Mettez en favori les portails de téléchargement officiels pour éviter d’utiliser un moteur de recherche à chaque nouvelle installation.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Fake Claude Code install guides push infostealers in InstallFix attacks

Menace InstallFix : Des guides d’installation factices pour voler vos données

Partager sur

Vous pourriez aimer

Wikipedia hit by self-propagating JavaScript worm that vandalized pages

Propagation d’un ver JavaScript sur Wikipédia

Transparent Tribe Uses AI to Mass-Produce Malware Implants in Campaign Targeting India

L’industrialisation des cyberattaques par l’IA : La menace “Vibeware”

The MSP Guide to Using AI-Powered Risk Management to Scale Cybersecurity

Optimiser la gestion des risques par l’IA pour les MSP

Multi-Stage VOID#GEIST Malware Delivering XWorm, AsyncRAT, and Xeno RAT

VOID#GEIST : Une campagne de logiciels malveillants multi-étapes furtive