Die Sicherheitsfirma Push Security hat eine raffinierte Kampagne aufgedeckt, die das bewährte ClickFix-Schema mit modernen Angriffsvektoren kombiniert. Die sogenannte InstallFix-Methode nutzt Malvertising und Social Engineering, um Entwickler in die Falle zu locken.
Das Angriffsmodell ist elegant in seiner Einfachheit: Gefälschte Installationsseiten für Claude Code erscheinen in Google-Anzeigen bei Suchanfragen wie “Claude Code”, “Claude Code install” oder “Claude Code CLI”. Diese geklonten Seiten sind optisch kaum vom Original zu unterscheiden. Der entscheidende Unterschied liegt jedoch in den Installationsbefehlen – wer diese kopiert und in sein Terminal einfügt, installiert stattdessen die Amatera-Stealer-Malware.
Jacques Louw, Co-Gründer und Chief Product Officer von Push Security, weist auf ein fundamental sicherheitsrelevantes Problem hin: Die weit verbreitete Praxis, Befehle einfach aus Websites zu kopieren und direkt auszuführen, ist zur Norm geworden. Dies ist besonders problematisch bei Entwicklern und Nutzern von KI-Coding-Tools, die genau diese Installation durchführen müssen.
Die Attacke zielt bewusst auf ein Verhalten ab, das heute zur Standard-Praxis geworden ist. Tatsächlich empfiehlt Anthropic selbst die Installation von Claude Code durch die Eingabe eines einzeiligen Befehls im Terminal. Hunderte weitere beliebte Entwickler- und CLI-Tools folgen dem gleichen Muster. Cyberkriminelle haben diese Gewohnheit längst erkannt und missbrauchen sie gezielt.
Ein besonders perfides Element der Kampagne ist die Nutzung von Google-Anzeigen als Verteilkanal. Anders als bei Phishing-E-Mails werden solche Links nicht von E-Mail-Sicherheitssystemen gefiltert. Zudem profitieren die Angreifer von der hohen Nachfrage nach Claude Code – gesponserte Suchergebnisse erscheinen prominent und viele Nutzer klicken unreflektiert, ohne zu bemerken, dass es sich um Werbung handelt.
Push Security berichtet außerdem, dass die Angreifer Domains von legitimen Anbietern wie Cloudflare Pages, Tencent EdgeOne und Squarespace missbrauchen. Diese wirken harmlos und verschmelzen mit regulärem Datenverkehr – ein Phänomen, das laut Louw mittlerweile Standard bei Phishing- und Malware-Kampagnen ist.
Die Bedrohung betrifft nicht nur unerfahrene Programmierer. Claude Code wird rapide in Organisationen aller Größen adoptiert und zieht damit auch weniger sicherheitsbewusste Nutzer an, die mit solchen Tools arbeiten. Louw vermutet, dass InstallFix genau deshalb Claude Code als Ziel wählte – es gehört zu den am schnellsten adoptierten Tools überhaupt.
Experten raten dringend zur Vorsicht beim Kopieren von Terminal-Befehlen. Die Domains sollten sorgfältig überprüft werden. Allerdings warnt Louw: Die von Push Security bereitgestellten Indikatoren haben nur begrenzte Langzeit-Aussagekraft, da Angreifer Domains schnell wechseln. Dies ist eine sich schnell entwickelnde Bedrohung, bei der ständig neue Domains aktiviert werden.