Mar 06, 2026 Approfondimenti, Attacchi, Attacchi, Attacco non convenzionale, In evidenza, Minacce, Minacce, Minacce, News, RSS

---

Nel mondo dello sviluppo software e delle infrastrutture IT, copiare e incollare comandi di installazione da documentazioni online è diventata una pratica quotidiana. Ma proprio questa abitudine, ormai radicata tra sviluppatori, amministratori di sistema e professionisti DevOps, sta diventando il punto di ingresso per una nuova tecnica di social engineering. I ricercatori della società di sicurezza Push Security hanno infatti individuato una nuova variante degli attacchi ClickFix, ribattezzata InstallFix, che sfrutta false guide di installazione per indurre le vittime a eseguire comandi malevoli direttamente dal terminale.

Il principio è semplice quanto efficace: convincere l’utente a eseguire manualmente un comando che, apparentemente, serve a installare uno strumento legittimo. In realtà, quel comando scarica e avvia malware progettati per sottrarre dati sensibili dal sistema. L’elemento che rende questa tecnica particolarmente insidiosa è il fatto che l’utente stesso avvia l’operazione, riducendo drasticamente i segnali di anomalia che potrebbero essere intercettati dagli strumenti di sicurezza tradizionali.

Pagine clonate e istruzioni manipolate

Uno degli esempi più recenti riguarda la clonazione della pagina di installazione di Claude Code, l’assistente di programmazione via riga di comando sviluppato da Anthropic. Gli attaccanti hanno creato una replica quasi perfetta della documentazione ufficiale, riproducendo fedelmente layout grafico, branding e persino la struttura della sidebar con i link alla documentazione.

La pagina fraudolenta è praticamente indistinguibile da quella originale. Tutti i collegamenti presenti rimandano al sito autentico di Anthropic, aumentando ulteriormente la credibilità del contenuto. L’unico elemento alterato riguarda le istruzioni di installazione per macOS e Windows. I comandi suggeriti all’utente, anziché scaricare il software legittimo, eseguono codice che recupera malware da server controllati dagli attaccanti.

Questa strategia consente alla vittima di continuare a navigare il sito ufficiale anche dopo aver eseguito il comando malevolo, senza accorgersi che l’infezione è già avvenuta.

Il ruolo del malvertising nei motori di ricerca

La distribuzione di queste pagine fraudolente avviene attraverso campagne di malvertising sui motori di ricerca. Gli aggressori acquistano annunci sponsorizzati su piattaforme pubblicitarie, facendo apparire i link malevoli tra i primi risultati per ricerche come “Claude Code install” o “Claude Code CLI”.

Gli utenti che cliccano sugli annunci vengono reindirizzati verso domini apparentemente legittimi ospitati su piattaforme affidabili come Cloudflare Pages, Squarespace o Tencent EdgeOne.

Alla base dell’efficacia della tecnica InstallFix c’è una pratica diffusa nella comunità degli sviluppatori: l’utilizzo dei cosiddetti comandi “curl-to-bash”. Questo approccio consente di installare software scaricando ed eseguendo automaticamente uno script remoto con una singola riga di comando.

In molti casi, lo script viene eseguito senza che l’utente ne verifichi il contenuto, basandosi esclusivamente sulla reputazione del dominio da cui viene scaricato. Secondo i ricercatori, il modello di sicurezza implicito in queste operazioni si riduce spesso a una logica estremamente fragile: se il dominio sembra legittimo, allora il comando viene considerato sicuro.

Con l’espansione degli strumenti CLI e degli assistenti di programmazione basati su intelligenza artificiale, sempre più utenti non strettamente tecnici stanno adottando strumenti che richiedono l’esecuzione di comandi di installazione complessi. Questo ampliamento della platea rende le campagne InstallFix particolarmente promettenti per i cybercriminali.

Amatera Stealer, il malware distribuito

Il payload utilizzato nelle campagne osservate è Amatera Stealer, una famiglia relativamente recente di malware progettata per il furto di informazioni sensibili. Gli analisti ritengono che il malware sia derivato da ACR Stealer e venga distribuito attraverso un modello Malware-as-a-Service, che consente a diversi gruppi criminali di utilizzarlo tramite abbonamento.

Una volta eseguito sul sistema della vittima, Amatera è in grado di sottrarre credenziali salvate nei browser, cookie e token di sessione, oltre a raccogliere informazioni dettagliate sul sistema compromesso. Il malware può inoltre individuare e sottrarre dati relativi a portafogli di criptovalute, aumentando il valore economico delle informazioni esfiltrate.

La famiglia Amatera include anche tecniche di evasione progettate per evitare il rilevamento da parte degli strumenti di sicurezza e prolungare la permanenza del malware nel sistema compromesso.

Tecniche di esecuzione diverse per Windows e macOS

Gli attacchi InstallFix utilizzano approcci leggermente differenti a seconda del sistema operativo della vittima. Nel caso dei sistemi macOS, i comandi malevoli contengono istruzioni codificate in base64 che scaricano e avviano un binario remoto da domini controllati dagli attaccanti.

Nei sistemi Windows, invece, l’attacco sfrutta l’utility di sistema mshta.exe per recuperare il malware remoto. L’esecuzione del payload coinvolge anche processi di sistema come conhost.exe, utilizzati per supportare l’avvio del codice malevolo.

L’utilizzo di strumenti legittimi già presenti nel sistema operativo consente agli aggressori di ridurre i segnali di anomalia e aumentare le probabilità di successo dell’infezione.

Una nuova superficie di attacco per l’ecosistema DevOps

Le campagne InstallFix evidenziano una debolezza strutturale nell’ecosistema degli strumenti per sviluppatori. La fiducia implicita nei comandi pubblicati online, unita alla diffusione di piattaforme di distribuzione automatica del software, crea una superficie d’attacco ampia e difficile da controllare.

La combinazione di siti clonati, risultati sponsorizzati nei motori di ricerca e comandi di installazione automatica rende questi attacchi particolarmente credibili anche per utenti esperti. Il fatto che l’infezione avvenga tramite un comando eseguito manualmente dall’utente complica ulteriormente l’individuazione dell’attacco.

Per questo motivo, i ricercatori raccomandano di ottenere le istruzioni di installazione esclusivamente dai siti ufficiali dei produttori software, evitando i risultati sponsorizzzati dei motori di ricerca e verificando sempre il contenuto degli script prima di eseguirli. Salvare tra i preferiti i portali di download ufficiali degli strumenti utilizzati più frequentemente può rappresentare una misura semplice ma efficace per ridurre il rischio.

---

• Amatera Stealer, Anthropic CLI attack, Claude Code Security, clickfix, cybersecurity sviluppatori, fake install guides, infostealer malware, InstallFix, malvertising Google Ads, malware CLI

---

---