Nep-installatiepagina's Claude Code verspreiden infostealer

In dit artikel:

Beveiligingsonderzoekers van Push Security ontdekten recent een nieuwe aanvalstechniek die zij InstallFix noemen. Daarbij klonen aanvallers installatiepagina’s van ontwikkelaarstools (zoals Claude Code) en vervangen de getoonde install-commando’s door instructies die malware van een door de aanvaller gecontroleerde server downloaden. De valse pagina’s zijn vrijwel pixel-perfect nagemaakt en leiden na interactie door naar de echte site om argwaan te verminderen. Verspreiding gebeurt vooral via gesponsorde Google-zoekresultaten: zoektermen als “Claude Code install” of “Claude Code CLI” leiden gebruikers naar de malafide advertenties.

Als payload wordt de Amatera Stealer geïnstalleerd — een infostealer die in 2025 opdook als opvolger van ACR Stealer. Amatera rooft browsergegevens, cookies, sessietokens en systeeminformatie en communiceert met command-and-control-servers via hardcoded IP-adressen die overeenkomen met legitieme CDN’s, waardoor detectie lastiger wordt. Voor hosting misbruiken de aanvallers diensten zoals Cloudflare Pages, Squarespace en Tencent EdgeOne.

De campagne is breder dan alleen Claude Code-klonen: Push zag ook vervalsingen van de Homebrew-installatiepagina en malafide npm-pakketten die zich als Claude Code voordoen. De methode bouwt voort op het ClickFix-patroon, maar vereist geen extra smoesje omdat gebruikers zelf software willen installeren; volgens Push wordt vier op de vijf ClickFix-lokkertjes via zoekmachines verspreid.

Praktische waarschuwingen: controleer altijd de exacte URL in install-commando’s voordat je een curl|bash-achtige opdracht uitvoert, geef de voorkeur aan officiële distributiekanalen en digitale handtekeningen, installeer software via bekende package managers waar mogelijk, gebruik adblockers of blokkeer verdachte advertenties en houd endpoint-beveiliging up-to-date. Deze stappen verkleinen de kans dat een ogenschijnlijk vertrouwde installatiepagina schadelijke code op je systeem zet.