Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
C’è una cosa che molti sviluppatori fanno quasi senza pensarci: copiare un comando da una pagina web e incollarlo nel terminale.
Succede ogni giorno. Installa questo tool, incolla quella riga, premi invio.
Fine.
Ma se ci pensi un attimo, stai concedendo a quella pagina il permesso di eseguire qualsiasi cosa sul tuo computer. Possiamo anche chiamarlo un assegno in bianco.
Una pratica che un tempo gli sviluppatori più esperti sconsigliavano senza mezzi termini, ma sembra che oggi siamo tornati indietro per comodità e velocità.
Molti strumenti diffusi – da Homebrew a Rust, passando per nvm, Bun o oh-my-zsh – suggeriscono lo stesso metodo: un comando “curl” che scarica uno script remoto e lo esegue direttamente nel terminale.
Il problema? Tutta la sicurezza si riduce a una sola cosa: fidarsi del dominio del sito.
E l’adozione crescente dell’AI non aiuta, in quanto sempre che più persone non tecniche stanno iniziando a usare strumenti che prima erano quasi esclusivi degli sviluppatori. E questo amplia tanto il bacino di potenziali vittime.
Ti è mai capitato di copiare un comando senza guardare davvero l’URL dentro quella riga?
Riflettici, è successo anche a te!
I ricercatori hanno individuato già da tempo una tecnica di social engineering chiamata InstallFix. Il meccanismo è semplice, ma decisamente efficace.
Gli attaccanti clonano le pagine di installazione di strumenti CLI legittimi e sostituiscono il comando di installazione con uno modificato. La pagina sembra identica all’originale: layout, logo, documentazione. Tutto.
La vittima copia il comando, lo incolla nel terminale anche se esegue qualcosa di completamente diverso. A differenza dei classici attacchi ClickFix – che inventano CAPTCHA falsi o errori di sistema – qui non serve inventare nulla.
L’utente voleva davvero installare quel software.
Una campagna recente ha preso di mira Claude Code, assistente di coding basato su AI sviluppato da Anthropic e sempre più usato da sviluppatori e appassionati. Gli aggressori hanno creato una replica quasi perfetta della pagina di installazione ufficiale, ospitata su un dominio molto simile. L’unica differenza?
Il comando di installazione.
Invece di scaricare lo script da claude.ai, la riga punta a un server controllato dagli attaccanti che distribuisce malware. Queste pagine false vengono promosse tramite Google Ads. Quando qualcuno cerca “Claude Code install” o “Claude Code CLI”, il risultato sponsorizzato appare sopra quelli legittimi. E spesso viene cliccato senza pensarci troppo.
Il malware avviato da questo comando utilizza cmd.exe per lanciare mshta.exe per recuperare codice da remoto. L’analisi ha mostrato che il payload corrisponde al malware Amatera Stealer, una famiglia relativamente recente progettata per rubare password salvate nei browser, cookie, token di sessione e informazioni di sistema.
Amatera è apparso pubblicamente intorno al 2025 ed è considerato un’evoluzione del malware ACR Stealer. Viene venduto come MaaS in abbonamento a operatori criminali. Nel corso dell’indagine, i ricercatori hanno osservato vari siti con binari identici, segno che si tratta probabilmente di una campagna coordinata.
La ricerca è stata pubblicata da Push Security, che ha analizzato questa tecnica nel dettaglio.
Per la community di Red Hot Cyber Il punto questa volta non si focalizza sul malware ma udite udite, sull’abitudine.
Copiare comandi dal web senza verificarli è diventato normale anche tra sviluppatori esperti. Questa campagna ricorda che la fiducia nel dominio non basta più.
Oggi basta un annuncio sponsorizzato ben piazzato online per trasformare un’installazione legittima in un’infezione silenziosa. E per salvarci da questo non servono firewall sofisticati. Serve solo la nostra sensibilità su come si debba navigare su internet.
