En bref

  • Des cybercriminels exploitent la fuite accidentelle du code source de Claude Code pour piéger les développeurs curieux
  • De faux dépôts GitHub distribuent le stealer Vidar et le proxy GhostSocks via une archive piégée
  • Tout développeur ayant téléchargé un prétendu « Claude Code déverrouillé » doit immédiatement scanner sa machine

Ce qui s'est passé

Le 31 mars 2026, Anthropic a accidentellement exposé le code source complet côté client de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le paquet npm publié. Cette fuite contenait 513 000 lignes de TypeScript non obfusqué réparties sur 1 906 fichiers, révélant la logique d'orchestration de l'agent, ses systèmes de permissions et d'exécution, selon BleepingComputer.

Des acteurs malveillants ont immédiatement saisi l'opportunité. Un dépôt GitHub publié par l'utilisateur « idbzoomh » propose un faux leak promettant des « fonctionnalités entreprise déverrouillées » et aucune restriction d'utilisation. Le dépôt est optimisé pour les moteurs de recherche et apparaît parmi les premiers résultats Google pour des requêtes comme « leaked Claude Code », d'après l'analyse de BleepingComputer.

Les utilisateurs qui téléchargent l'archive 7-Zip y trouvent un exécutable Rust nommé ClaudeCode_x64.exe. Une fois lancé, ce dropper déploie Vidar, un infostealer bien connu du milieu cybercriminel, accompagné de GhostSocks, un outil de proxy réseau permettant aux attaquants de router leur trafic à travers les machines compromises. Les données volées incluent les identifiants navigateur, les cookies de session et les portefeuilles de cryptomonnaies.

Pourquoi c'est important

Cette campagne illustre parfaitement comment les fuites de code d'outils IA populaires deviennent des vecteurs d'attaque par ingénierie sociale. Les développeurs, naturellement curieux de comprendre le fonctionnement interne de Claude Code, constituent une cible de choix : leurs machines contiennent souvent des clés API, des tokens d'accès et des credentials cloud à haute valeur.

Le fait que Vidar soit couplé à GhostSocks aggrave le risque : non seulement les données sont exfiltrées, mais la machine compromise devient un nœud de proxy pour d'autres activités malveillantes. Ce type de chaîne d'attaque supply chain ciblant les développeurs s'est multiplié en 2026, après les incidents npm Axios et les faux paquets PyPI.

Ce qu'il faut retenir

  • Ne jamais télécharger de code source « leaké » depuis des dépôts GitHub non vérifiés, surtout s'il promet des fonctionnalités déverrouillées
  • Les développeurs ayant recherché « leaked Claude Code » sur Google doivent vérifier leur historique de téléchargements et scanner leur système
  • Utiliser des outils de détection EDR et surveiller les connexions réseau sortantes inhabituelles, signature typique de GhostSocks

Comment savoir si ma machine est infectée par Vidar ?

Recherchez la présence de processus suspects dans le gestionnaire de tâches, vérifiez les connexions réseau sortantes inhabituelles avec netstat ou Wireshark, et lancez un scan complet avec un antivirus à jour. Vidar laisse généralement des traces dans les dossiers temporaires et modifie les bases de données des navigateurs pour exfiltrer les credentials stockés.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Articles connexes :

Prendre contact