Se você usa um assistente de codificação com tecnologia de IA como o Claude Code, aqui está um bom motivo para sempre garantir que você está copiando comandos da interface legítima: os golpistas agora estão usando versões clonadas de ferramentas populares para espalhar malware que rouba informações por meio de instruções de instalação falsas – uma tática conhecida como InstallFix.
Interface falsa de Claude Code usada para ataques InstallFix
Pesquisadores da Push Security identificaram versões cuidadosamente copiadas do Claude Code, o assistente de codificação de IA de linha de comando da Anthropic, que se parecem exatamente com a versão real, completa com layout, marca, texto, barra lateral de documentação e um domínio semelhante. Cada link na página redireciona até mesmo para o site legítimo do Claude Code. A única parte maliciosa é o comando de uma linha para instalar o Claude Code para macOS, Windows PowerShell e Windows CMD. Se você copiar e colar isso no terminal, ele irá entregar malware.
InstallFix é uma variação do ClickFix, uma tática de engenharia social que usa mensagens de erro falsas, CAPTCHAs e prompts de comando para fazer com que os usuários instalem malware em seus próprios dispositivos. Uma campanha semelhante utilizou recentemente instaladores falsos do OpenClaw.
O esquema atual do Claude Code tem como alvo usuários de Windows e Mac com um infostealer conhecido como Amatera. Esse malware pode coletar dados do navegador – senhas salvas, cookies, tokens de sessão, dados de preenchimento automático e até mesmo carteiras e credenciais de criptomoeda – bem como informações do sistema. Os invasores podem evitar ainda mais a detecção hospedando sites maliciosos em plataformas legítimas como CloudFlare Pages e Squarespace.
Como evitar ataques InstallFix
A Push Security descobriu que essas páginas de instalação falsas proliferaram por meio de malvertising – especificamente, resultados patrocinados no Google quando os usuários pesquisavam termos como “Claude Code”, “Claude Code install” ou “Claude Code CLI”. Seja extremamente cauteloso ao procurar ferramentas de codificação ou instruções de instalação e não execute comandos copiados de e-mails, fóruns, postagens ou mensagens em mídias sociais e sites, a menos que você tenha verificado de forma independente sua legitimidade.
O que você acha até agora?
Você pode ocultar resultados patrocinados na pesquisa do Google (depois de passar por eles), o que é uma boa prática para não clicar acidentalmente em um anúncio malicioso. Considere marcar fontes confiáveis que você sabe que precisará retornar para não precisar fazer pesquisas.
Por fim, revise cuidadosamente os URLs e os comandos. Os agentes de ameaças usarão truques para fazer com que endereços da web falsos pareçam legítimos à primeira vista, mas após uma inspeção mais detalhada, você verá que não está no site real do Claude Code. Você também pode digitar comandos manualmente (novamente, apenas de fontes verificadas) para garantir que não está copiando e executando algo oculto no texto.
