Fake Claude Code Jadi Umpan, InstallFix Sebarkan Infostealer Amatera
Pelaku ancaman siber menggunakan variasi baru teknik rekayasa sosial ClickFix bernama InstallFix untuk mengelabui korban agar menjalankan perintah berbahaya dengan dalih menginstal alat command-line (CLI) resmi.
Dalam kampanye terbaru, halaman instalasi palsu untuk Claude Code—CLI coding assistant dari Anthropic—digunakan untuk menyebarkan malware pencuri informasi.
Penelitian ini diungkap oleh Push Security, yang menemukan bahwa pelaku membuat situs tiruan dengan tampilan, branding, dan dokumentasi yang identik dengan sumber resmi.
InstallFix: Evolusi ClickFix
Teknik InstallFix mengeksploitasi kebiasaan umum developer yang sering menjalankan perintah “curl-to-bash” langsung dari internet tanpa memeriksa skrip secara menyeluruh.
Model keamanan yang selama ini bertumpu pada kepercayaan terhadap domain menjadi celah utama. Terlebih, kini semakin banyak pengguna non-teknis yang menggunakan alat CLI yang sebelumnya hanya dipakai pengembang profesional.
Dalam kasus ini, perbedaan utama antara situs asli dan palsu terletak pada perintah instalasi untuk macOS dan Windows (PowerShell maupun Command Prompt). Perintah tersebut sebenarnya mengunduh malware dari server yang dikendalikan penyerang.
Menariknya, selain bagian instalasi, seluruh tautan lain di situs palsu tetap mengarah ke situs resmi Anthropic, sehingga korban dapat terus menjelajah tanpa menyadari telah terinfeksi.
Dipromosikan Lewat Iklan Google
Pelaku memanfaatkan malvertising melalui Google Ads untuk menampilkan situs palsu di hasil pencarian seperti “Claude Code install” atau “Claude Code CLI”.
Dalam pengujian terbaru, situs tiruan yang di-host di Squarespace muncul sebagai hasil bersponsor teratas untuk pencarian terkait instalasi Claude Code.
Hal ini menunjukkan bagaimana platform hosting sah seperti Cloudflare Pages, Squarespace, dan Tencent EdgeOne dimanfaatkan untuk menyamarkan aktivitas berbahaya.
Muatan Malware: Amatera Stealer
Berdasarkan analisis Push Security, payload utama dalam serangan InstallFix ini adalah Amatera Stealer, malware yang dirancang untuk mencuri:
- Kredensial login
- Cookie dan token sesi browser
- Dompet kripto
- Informasi sistem
Pada macOS, perintah berbahaya mengandung instruksi base64 yang mengunduh dan mengeksekusi binari dari domain milik pelaku.
Sementara pada Windows, perintah memanfaatkan utilitas sah mshta.exe untuk mengambil malware, lalu menjalankan proses tambahan seperti conhost.exe guna mendukung eksekusi payload akhir.
Amatera merupakan keluarga malware relatif baru yang diduga berbasis ACR Stealer dan dipasarkan sebagai Malware-as-a-Service (MaaS) kepada pelaku kejahatan siber.
Ancaman yang Sulit Dideteksi
Serangan InstallFix dinilai sangat evasif karena:
- Menggunakan platform hosting tepercaya
- Meniru dokumentasi resmi secara presisi
- Mengandalkan perintah CLI yang terlihat sah
- Tidak memerlukan eksploitasi teknis kompleks
Sebelumnya, teknik serupa juga digunakan untuk menyebarkan installer palsu OpenClaw yang dipromosikan melalui hasil pencarian berbasis AI.
Imbauan Keamanan
Pengguna yang ingin menginstal Claude Code atau alat CLI lainnya disarankan untuk:
- Menghindari hasil pencarian bersponsor
- Memastikan domain benar-benar resmi
- Menyimpan (bookmark) halaman unduhan resmi
- Tidak menjalankan perintah instalasi tanpa memeriksa isi skrip
Push Security juga merilis indikator kompromi (IoC) yang mencakup domain tiruan dan endpoint pengiriman malware untuk membantu tim keamanan mendeteksi serangan lebih dini.
Serangan ini menegaskan bahwa teknik rekayasa sosial kini semakin memanfaatkan kebiasaan kerja modern—bahkan di kalangan profesional teknologi.
