Une campagne active diffuse de fausses pages d'installation de Claude Code via Google Ads. Une seule commande copiée-collée dans le terminal suffit à installer Amatera Stealer, un logiciel espion capable de vider mots de passe, cookies et jetons de session.

Des campagnes similaires à InstallFix ont déjà repris le nom officiel de Claide Code - ©Robert Way / Shutterstock
Des campagnes similaires à InstallFix ont déjà repris le nom officiel de Claide Code - ©Robert Way / Shutterstock

Des sites clonés, quasi identiques à la page officielle d'Anthropic, circulent en ce moment via des publicités Google pour piéger quiconque cherche à installer Claude Code. La technique, « InstallFix » a été identifiée par les chercheurs de Push Security et exploite un geste banal chez les développeurs : copier une commande d'installation depuis un site web et la coller dans un terminal.

Mais ici, la commande en question ne pointe pas vers les serveurs d'Anthropic, mais vers une infrastructure contrôlée par des attaquants, capable de déposer silencieusement un logiciel espion sur la machine.

Aucun e-mail suspect, aucune pièce jointe piégée, aucun CAPTCHA douteux. Juste une pub Google et un copier-coller. C'est à s'y méprendre, visiblement.

Google, le vecteur d'attaque d'Install Fix

Tapez « Claude Code » dans Google. Avant même d'atteindre la documentation officielle d'Anthropic, vous pouvez tomber sur un résultat sponsorisé, une publicité, qui pointe vers une page clonée quasi identique à l'originale. Même mise en page, mêmes logos, mêmes liens qui fonctionnent.

À ce petit détail prèss que les commandes d'installation pointent vers un serveur contrôlé par des attaquants.

Le vecteur principal de cette attaque n'est pas un e-mail de phishing que votre antivirus aurait pu intercepter, mais Google lui-même, ou plutôt son système publicitaire, détourné comme canal de distribution. Push Security l'a mesuré : dans 80 % des leurres de ce type interceptés par leurs équipes, les victimes arrivent via un moteur de recherche.

Personne ne clique sur une pub en se disant qu'il prend un risque. Or les comptes Google Ads sont régulièrement compromis pour financer et diffuser exactement ce type de campagne.

C'est ce que Jacques Louw, cofondateur de Push Security, a baptisé InstallFix : une variante du ClickFix classique, mais sans faux CAPTCHA ni message d'erreur fabriqué. Le prétexte se résume à l'envie d'installer un outil. L'utilisateur copie une commande curl qui semble normale, la colle dans son terminal, appuie sur Entrée. Le tour est joué

Ne passez jamais par un résultat sponsorisé pour atteindre la page officielle d'un outil, mais taper directement l'URL ou utiliser un favori déjà enregistré - ©mundissima / Shutterstock
Ne passez jamais par un résultat sponsorisé pour atteindre la page officielle d'un outil, mais taper directement l'URL ou utiliser un favori déjà enregistré - ©mundissima / Shutterstock

Les nouveaux développeurs amateurs, cible idéale

Claude Code cible aussi bien des développeurs expérimentés que des programmeurs amateurs, et c'est précisément ce deuxième public qui pose problème. L'adoption de l'IA pousse aujourd'hui des utilisateurs sans formation technique vers des outils autrefois réservés aux développeurs. Pour ces profanes sans doute pleins de bonne volonté, coller une commande dans un terminal, c'est déjà énorme. Alors lire attentivement une URL enfouie dans une chaîne encodée en base64 ? Impensable et c'est cette lacune qu'utilisent les hackers.

Leur page clone est conçue pour passer inaperçue même auprès d'un développeur aguerri, car les seules modifications visibles se trouvent dans les commandes d'installation elles-mêmes. Quant à la charge utile, elle fonctionne en plusieurs étapes : un premier exécutable en télécharge un second depuis un serveur distant, Amatera Stealer. Vendu par abonnement à des opérateurs criminels depuis environ 2025, ce logiciel espion vide les mots de passe enregistrés dans le navigateur, les cookies et les jetons de session, en communiquant via des adresses IP rattachées à des CDN légitimes, ce qui rend le trafic difficile à bloquer sans perturber d'autres services. L'antivirus ne voit rien, puisque c'est l'utilisateur qui a lui-même lancé l'exécution.

Homebrew, Rust, nvm, oh-my-zsh : pour des centaines d'outils incontournables du développement logiciel, l'installation passe par une commande curl copiée depuis un site web. Tout le modèle est construit et tourne sur la confiance au domaine. Or, avec des publicités Google qui masquent les sous-domaines dans l'URL affichée, même ce garde-fou tombe. Des campagnes similaires ont déjà visé Homebrew, des dépôts GitHub imitant des agents IA populaires et des paquets npm reprenant le nom officiel de Claude Code.

Pour s'en prémunir, un premier réflexe : ne jamais passer par un résultat sponsorisé pour atteindre la page officielle d'un outil, mais taper directement l'URL ou utiliser un favori déjà enregistré. Ensuite, avant d'exécuter quoi que ce soit dans un terminal, vérifier l'URL contenue dans la commande. Un domaine comme claude-code-docs-site.pages.dev n'a rien d'officiel, même s'il en a l'apparence.

Source : PC Mag, Push Security