Aggregator

网络攻击者正在使用一种名为InstallFix的新型社工攻击手法，该手法是ClickFix技术的变种，其以安装合法命令行工具（CLI）为借口，诱骗用户执行恶意指令。 

这种新型攻击手段利用了当下开发者群体中的常见习惯：直接通过curl-to-bash这类命令从网络源下载并执行脚本，而未事先仔细检查内容。 研究人员发现，攻击者借助全新的InstallFix技术，克隆多款主流CLI工具的官方页面，并在页面中投放恶意安装命令。 

当前安全模型“本质上仍停留在‘信任域名’阶段”，且越来越多非技术人员开始使用原本仅面向开发者的工具，这使得InstallFix可能演变为更大规模的安全威胁。

日前，Push Security披露了一个克隆自Anthropic旗下代码助手Claude Code的伪造安装页面。该页面在布局、品牌标识与文档侧边栏等方面，均与官方来源完全一致。

二者的区别仅在于macOS与Windows系统（PowerShell、命令提示符）下的安装指令，伪造指令会从攻击者控制的服务器端下载恶意程序。

合法页面（上）和恶意页面（下）

研究人员指出，除安装指令外，伪造页面上的其余链接均会跳转到Anthropic官方网站。受害者进入页面并按照伪造指令操作后，仍可正常继续后续流程，完全意识不到已遭遇攻击。

攻击者通过谷歌广告中的恶意广告活动推广这些伪造页面，使得在搜索“Claude Code安装”“Claude Code CLI”等关键词时，恶意广告会出现在搜索结果中。

经证实，此类恶意网站仍在通过谷歌搜索的推广链接进行投放。搜索“install claude code”时，第一条结果即为Squarespace域名（claude-code-cmd.squarespace[.]com），页面与Claude Code官方文档几乎完全一致。

谷歌搜索推送虚假的 Claude 安装网站

部署Amatera信息窃取木马

根据分析，InstallFix攻击所投递的载荷为Amatera窃密木马，该恶意软件旨在从受感染设备中窃取加密货币钱包、账号凭证等敏感数据。 

针对macOS的恶意InstallFix命令中，包含经过Base64编码的指令，用于从攻击者控制的域名下载并执行二进制程序。其中一起案例中，攻击者使用的域名为wriconsult[.]com，目前该域名已下线。 

针对Windows用户，恶意命令利用系统合法工具mshta.exe拉取恶意程序，并触发conhost.exe等额外进程，为最终载荷Amatera窃密木马的执行提供支撑。

克隆版 Claude 安装指南（含恶意命令）

Amatera是一款较新的恶意软件家族，基于ACR Stealer开发，以订阅式服务（MaaS，恶意软件即服务）的形式向网络犯罪分子出售。

该恶意软件近期还出现在其他ClickFix攻击活动中，攻击者滥用Windows App-V脚本实现载荷投递。它可窃取浏览器中存储的密码、Cookie与会话令牌，采集系统信息，同时规避安全工具检测。

此类攻击具有较强的隐蔽性，原因之一是恶意站点托管于Cloudflare Pages、Squarespace、EdgeOne等正规平台。

在近期的一次攻击活动中，攻击者同样使用InstallFix技术，伪造托管在GitHub仓库中的OpenClaw安装程序，并通过必应AI增强搜索结果进行推广。

用户如需安装Claude Code，务必从官方网站获取安装指令，屏蔽或跳过谷歌搜索中的所有推广结果，并将常用软件下载入口添加至书签。

嘶吼安全动态

【国内新闻】

工信部部署2026年信息通信业安全生产和网络运行安全工作

摘要：工信部印发安全生产与网络运行安全通知，细化24项任务，强化卫星通信、骨干网等关键链路防护与应急处置。

原文链接：https://baijiahao.baidu.com/s?id=1860440461820138043&wfr=spider&for=pcAI

替人“动手”：安全边界问题凸显

摘要：专家指出AI代理正在从“工具”变为“执行者”，但其权限、数据流向和隐私风险仍缺乏清晰边界，可能带来系统性安全隐患。

原文链接：https://www.chinanews.com.cn/sh/2026/03-23/10591199.shtml

工信部公示汽车数据安全新标准，严控位置/音视频敏感采集

摘要：两项国标公开征求意见，规范车载数据收集、存储与共享，杜绝过度采集，筑牢车联网个人隐私防线。

原文链接：https://www.miit.gov.cn/zwgk/wjgs/art/2026/art_2b4385a2ffca46deb565272510940d3b.html

抖音上线2026网暴治理新规，全链路安全防护+快速维权救济

摘要：新版治理规范落地，整合反网暴指南，提供一键防护、快速举报、溯源处置，遏制恶意造谣与人身攻击。

原文链接：http://m.toutiao.com/group/7620432051069633043/

国安部紧急提醒：手机5项高频功能勿常开，盗刷泄露同比涨21%

摘要：蓝牙、隔空投送等功能易被嗅探劫持，密集场所风险极高，即时关闭非必要权限，防范隐私窃取与财产损失。

原文链接：https://www.163.com/dy/article/KOOCUU5L0553TKKM.html

【国外新闻】

RSAC 2026：AI将网络安全分裂为“两场战争”

摘要：在RSAC 2026大会上，专家指出当前网络安全分为两大方向：一是用AI增强防御，二是防御AI本身被攻击。攻击者正利用AI反向武器化系统，推动行业进入全新对抗阶段。

原文链接：

https://www.lastwatchdog.com/my-take-as-rsac-2026-opens-ai-has-bifurcated-cybersecurity-into-two-wars-the-clock-is-running/

全球钓鱼攻击升级：AI浏览器反被利用

摘要：研究人员发现攻击者利用AI浏览器机制构建更真实的钓鱼页面，绕过传统检测逻辑。AI工具不仅提升攻击成功率，还降低攻击门槛，使普通攻击者也能发起高质量诈骗。

原文链接：https://www.ithome.com.tw/news/174602

Aura数据泄露：90万用户信息被访问

摘要：身份保护公司Aura因员工遭电话钓鱼攻击，攻击者获取账号权限并访问约90万条客户数据。事件显示“人+社工攻击”仍是企业安全最大短板之一。

原文链接：https://www.ithome.com.tw/news/174602

Copilot及Cursor等AI编码助手曝规则文件注入漏洞

摘要：Pillar Security发现AI编码助手可被恶意规则文件操控，生成含后门代码，隐藏Unicode字符可绕过安全检查。

原文链接：https://news.qq.com/rain/a/20250324A051OI00

利比亚炼油厂遭长期间谍攻击，AsyncRAT成核心工具

摘要：攻击者通过鱼叉邮件传播VBS脚本，最终投递远控木马AsyncRAT，实现键盘记录、凭证窃取与远程控制，并维持长期潜伏访问，显示出明显的情报收集导向。

原文链接：

https://gbhackers.com/libyan-refinery-targeted/