¿Sueles copiar y pegar comandos? El método "InstallFix" te hará replantearte ese hábito.
La confianza en las fuentes oficiales se ha convertido en una trampa perfecta.
Los atacantes comenzaron a utilizar activamente páginas falsas de instalación de herramientas populares para desarrolladores. El nuevo esquema de ingeniería social se construye alrededor de la práctica habitual de copiar comandos de las instrucciones oficiales. La sustitución de una sola línea en esa instrucción permite instalar sin que se note un programa malicioso en lugar de la herramienta requerida.
El equipo de la empresa Push describió la técnica denominada «InstallFix». El esquema se basa en clonar las páginas de instalación de herramientas de línea de comandos (CLI) conocidas. A primera vista estos sitios parecen completamente idénticos a los originales: se copia el diseño, la estructura de la documentación y la identidad corporativa. La única diferencia está oculta en el comando de instalación. En lugar de descargar el script desde el dominio oficial, el comando se conecta al servidor del atacante y ejecuta código malicioso.
Como ejemplo, los especialistas analizaron una campaña dirigida a los usuarios de la herramienta Claude Code de la empresa Anthropic. Claude Code es un asistente para programación que funciona a través de la línea de comandos. El servicio ganó rápidamente popularidad entre desarrolladores y usuarios noveles. La instalación se realiza con un comando de una sola línea que basta copiar del sitio y pegar en el terminal.
Los atacantes crean una copia casi exacta de la página de instalación de Claude Code y la alojan en un dominio que se parece al oficial. Tras acceder, el usuario ve la instrucción conocida y copia el comando propuesto. Sin embargo, el comando descarga un script de otro servidor. El código malicioso inicia una cadena de procesos: primero se activa cmd.exe, luego se invoca mshta.exe, que descarga y ejecuta un script remoto. En el sistema también se ejecuta conhost.exe para gestionar la línea de comandos.
El análisis mostró coincidencias con las firmas del programa malicioso Amatera Stealer. Esta herramienta roba contraseñas guardadas en navegadores, cookies, tokens de sesión y datos sobre el sistema. La familia Amatera apareció alrededor de 2025 y se considera una evolución del ACR Stealer más antiguo. Sus autores distribuyen el programa por suscripción entre ciberdelincuentes. Para eludir los mecanismos de protección, el malware emplea conexiones de red directas NTSockets, resolución dinámica de la interfaz de programación de aplicaciones (API) y carga multinivel de componentes.
Las páginas falsas se difunden mediante anuncios en el buscador Google. Los enlaces aparecen en el bloque de resultados patrocinados para búsquedas como «Claude Code install» o «Claude Code CLI». El usuario busca el programa por sí mismo, por lo que no surgen sospechas asociadas a correos de phishing. La dirección que muestra el anuncio parece verosímil, y los motores de búsqueda a menudo ocultan subdominios, lo que facilita la suplantación.
Una mayor discreción la proporciona alojar las páginas maliciosas en plataformas de hosting legítimas. Durante la investigación, los especialistas detectaron el uso de servicios como Cloudflare Pages, Squarespace y Tencent EdgeOne. Ese enfoque permite que el tráfico malicioso se mezcle con la actividad normal de la red.
Según los autores del estudio, ataques similares ya han afectado a otros proyectos. Anteriormente, los atacantes difundieron comandos maliciosos a través de páginas falsas de Homebrew, repositorios de GitHub con instaladores falsos de OpenClaw y paquetes maliciosos de npm que imitaban el paquete oficial Claude Code. El esquema sigue siendo universal: cualquier herramienta popular con un comando de instalación sencillo puede convertirse en cebo.