Hujumchilar Claude Code ni o‘rnatish uchun mo‘ljallangan soxta sahifalar orqali Amatera infostiler-dasturini tarqatish bo‘yicha keng ko‘lamli kampaniyani boshladilar. Push Security mutaxassislari Google reklamalari orqali targ‘ib qilinayotgan va “Claude Code install” kabi so‘rovlar bo‘yicha qidiruv natijalarining birinchi qatorlarida chiqib kelayotgan 17 ta soxta domenni aniqladilar.

Tadqiqotchilar ushbu texnikani InstallFix deb atashdi. U oddiy ClickFix usulidan ko‘ra ayyorona ishlaydi, chunki foydalanuvchini aldash uchun hech qanday uydirma bahonalarni talab qilmaydi. Foydalanuvchining o‘zi qonuniy vositani o‘rnatishni xohlaydi va klonlashtirilgan saytdan buyruqni ixtiyoriy ravishda nusxalab oladi.

Hujum qanday amalga oshiriladi?

Hackerlar Anthropic’ning rasmiy sahifasini logotip, hujjatlar va ishchi havolalar bilan birga aynan nusxalashgan. Yagona farq terminalga nusxalanadigan curl-to-bash buyrug‘i ichiga yashirilgan: claude.ai o‘rniga u jinoyatchilarning serveriga yo‘naltiradi.

• macOS’da buyruq zsh orqali ijro etuvchi faylni yuklab oladi va ishga tushiradi.
• Windows’da esa zanjir cmd.exe va mshta.exe orqali o‘tadi.

Buyruq bajarilgandan so‘ng, sahifa jabrlanuvchini Claude Code’ning haqiqiy saytiga yo‘naltiradi va foydalanuvchi qurilmasi zararlanganini hatto gumon qilmasdan ishini davom ettiraveradi.

Texnik tafsilotlar va xavf darajasi

Soxta sahifalar Cloudflare Pages, Squarespace va Tencent EdgeOne kabi real maydonchalarga joylashtirilgan, bu esa ularni avtomatik aniqlashni qiyinlashtiradi. Push Security tahlilchisi Jak Luvning (Jacques Louw) ta’kidlashicha, bunday hujumlarning beshtadan to‘rttasi elektron pochta orqali emas, balki aynan qidiruv tizimlari orqali keladi.

Amatera Stealer 2025-yilda ACR Stealer’ning takomillashtirilgan versiyasi sifatida paydo bo‘lgan va obuna asosida sotiladi. U parollar, cookie-fayllar, seans tokenlari va kripto-hamyon ma’lumotlarini o‘g‘irlaydi. Himoyani aylanib o‘tish uchun u to‘g‘ridan-to‘g‘ri NTSockets, WoW64 Syscalls tizimlaridan foydalanadi va o‘z trafikini haqiqiy CDN xizmatlari sifatida niqoblaydi.

Bu so‘nggi uch oy ichida Claude ekotizimiga qilingan to‘rtinchi hujum to‘lqinidir. Bungacha claude.ai rasmiy domenidagi zararli ob’ektlar, zararlangan npm-paketlar va Bing AI Search orqali soxta o‘rnatuvchilar bilan bog‘liq holatlar qayd etilgan edi.

Tavsiya: Claude Code’ni faqat rasmiy sayt — claude.ai/code orqali yoki tekshirilgan npm-paket yordamida o‘rnating. curl-to-bash buyruqlarini bajarishdan oldin ularning ichidagi URL manzillarni albatta tekshiring.