文章总结： 新型网络攻击InstallFix是ClickFix变种，攻击者克隆CLI工具官方页面并投放恶意安装命令，通过谷歌广告诱导用户执行。该攻击投递Amatera窃密木马，可窃取加密货币钱包和账号凭证，恶意站点托管于正规平台增加隐蔽性。用户应从官网获取安装指令，屏蔽搜索推广结果并将常用软件下载入口添加书签以防范此类攻击。 综合评分： 84 文章分类： 威胁情报,恶意软件,社会工程学

新型网络攻击InstallFix曝光：伪装CLI工具安装指令，诱导执行恶意命令

胡金鱼 胡金鱼

嘶吼专业版

2026年3月24日 14:03 北京

在小说阅读器读本章

去阅读

网络攻击者正在使用一种名为InstallFix的新型社工攻击手法，该手法是ClickFix技术的变种，其以安装合法命令行工具（CLI）为借口，诱骗用户执行恶意指令。

这种新型攻击手段利用了当下开发者群体中的常见习惯：直接通过curl-to-bash这类命令从网络源下载并执行脚本，而未事先仔细检查内容。 研究人员发现，攻击者借助全新的InstallFix技术，克隆多款主流CLI工具的官方页面，并在页面中投放恶意安装命令。

当前安全模型“本质上仍停留在‘信任域名’阶段”，且越来越多非技术人员开始使用原本仅面向开发者的工具，这使得InstallFix可能演变为更大规模的安全威胁。

日前，Push Security披露了一个克隆自Anthropic旗下代码助手Claude Code的伪造安装页面。该页面在布局、品牌标识与文档侧边栏等方面，均与官方来源完全一致。

二者的区别仅在于macOS与Windows系统（PowerShell、命令提示符）下的安装指令，伪造指令会从攻击者控制的服务器端下载恶意程序。

合法页面（上）和恶意页面（下）

研究人员指出，除安装指令外，伪造页面上的其余链接均会跳转到Anthropic官方网站。受害者进入页面并按照伪造指令操作后，仍可正常继续后续流程，完全意识不到已遭遇攻击。

攻击者通过谷歌广告中的恶意广告活动推广这些伪造页面，使得在搜索“Claude Code安装”“Claude Code CLI”等关键词时，恶意广告会出现在搜索结果中。

经证实，此类恶意网站仍在通过谷歌搜索的推广链接进行投放。搜索“install claude code”时，第一条结果即为Squarespace域名（claude-code-cmd.squarespace[.]com），页面与Claude Code官方文档几乎完全一致。

谷歌搜索推送虚假的 Claude 安装网站

部署Amatera信息窃取木马

根据分析，InstallFix攻击所投递的载荷为Amatera窃密木马，该恶意软件旨在从受感染设备中窃取加密货币钱包、账号凭证等敏感数据。

针对macOS的恶意InstallFix命令中，包含经过Base64编码的指令，用于从攻击者控制的域名下载并执行二进制程序。其中一起案例中，攻击者使用的域名为wriconsult[.]com，目前该域名已下线。

针对Windows用户，恶意命令利用系统合法工具mshta.exe拉取恶意程序，并触发conhost.exe等额外进程，为最终载荷Amatera窃密木马的执行提供支撑。

克隆版 Claude 安装指南（含恶意命令）

Amatera是一款较新的恶意软件家族，基于ACR Stealer开发，以订阅式服务（MaaS，恶意软件即服务）的形式向网络犯罪分子出售。

该恶意软件近期还出现在其他ClickFix攻击活动中，攻击者滥用Windows App-V脚本实现载荷投递。它可窃取浏览器中存储的密码、Cookie与会话令牌，采集系统信息，同时规避安全工具检测。

此类攻击具有较强的隐蔽性，原因之一是恶意站点托管于Cloudflare Pages、Squarespace、EdgeOne等正规平台。

在近期的一次攻击活动中，攻击者同样使用InstallFix技术，伪造托管在GitHub仓库中的OpenClaw安装程序，并通过必应AI增强搜索结果进行推广。

用户如需安装Claude Code，务必从官方网站获取安装指令，屏蔽或跳过谷歌搜索中的所有推广结果，并将常用软件下载入口添加至书签。

参考及来源：https://www.bleepingcomputer.com/news/security/fake-claude-code-install-guides-push-infostealers-in-installfix-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《新型网络攻击InstallFix曝光：伪装CLI工具安装指令，诱导执行恶意命令》