Des cybercriminels exploitent la fuite du code source de Claude Code pour distribuer le malware Vidar via de faux dépôts GitHub optimisés pour le référencement.
En bref
- Des cybercriminels exploitent la fuite accidentelle du code source de Claude Code pour piéger les développeurs curieux
- De faux dépôts GitHub distribuent le stealer Vidar et le proxy GhostSocks via une archive piégée
- Tout développeur ayant téléchargé un prétendu « Claude Code déverrouillé » doit immédiatement scanner sa machine
Ce qui s'est passé
Le 31 mars 2026, Anthropic a accidentellement exposé le code source complet côté client de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le paquet npm publié. Cette fuite contenait 513 000 lignes de TypeScript non obfusqué réparties sur 1 906 fichiers, révélant la logique d'orchestration de l'agent, ses systèmes de permissions et d'exécution, selon BleepingComputer.
Des acteurs malveillants ont immédiatement saisi l'opportunité. Un dépôt GitHub publié par l'utilisateur « idbzoomh » propose un faux leak promettant des « fonctionnalités entreprise déverrouillées » et aucune restriction d'utilisation. Le dépôt est optimisé pour les moteurs de recherche et apparaît parmi les premiers résultats Google pour des requêtes comme « leaked Claude Code », d'après l'analyse de BleepingComputer.
Les utilisateurs qui téléchargent l'archive 7-Zip y trouvent un exécutable Rust nommé ClaudeCode_x64.exe. Une fois lancé, ce dropper déploie Vidar, un infostealer bien connu du milieu cybercriminel, accompagné de GhostSocks, un outil de proxy réseau permettant aux attaquants de router leur trafic à travers les machines compromises. Les données volées incluent les identifiants navigateur, les cookies de session et les portefeuilles de cryptomonnaies.
Pourquoi c'est important
Cette campagne illustre parfaitement comment les fuites de code d'outils IA populaires deviennent des vecteurs d'attaque par ingénierie sociale. Les développeurs, naturellement curieux de comprendre le fonctionnement interne de Claude Code, constituent une cible de choix : leurs machines contiennent souvent des clés API, des tokens d'accès et des credentials cloud à haute valeur.
Le fait que Vidar soit couplé à GhostSocks aggrave le risque : non seulement les données sont exfiltrées, mais la machine compromise devient un nœud de proxy pour d'autres activités malveillantes. Ce type de chaîne d'attaque supply chain ciblant les développeurs s'est multiplié en 2026, après les incidents npm Axios et les faux paquets PyPI.
Ce qu'il faut retenir
- Ne jamais télécharger de code source « leaké » depuis des dépôts GitHub non vérifiés, surtout s'il promet des fonctionnalités déverrouillées
- Les développeurs ayant recherché « leaked Claude Code » sur Google doivent vérifier leur historique de téléchargements et scanner leur système
- Utiliser des outils de détection EDR et surveiller les connexions réseau sortantes inhabituelles, signature typique de GhostSocks
Comment savoir si ma machine est infectée par Vidar ?
Recherchez la présence de processus suspects dans le gestionnaire de tâches, vérifiez les connexions réseau sortantes inhabituelles avec netstat ou Wireshark, et lancez un scan complet avec un antivirus à jour. Vidar laisse généralement des traces dans les dossiers temporaires et modifie les bases de données des navigateurs pour exfiltrer les credentials stockés.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Hims & Hers : ShinyHunters vole des millions de tickets Zendesk
ShinyHunters a compromis l'instance Zendesk de Hims & Hers via un compte Okta SSO détourné, exfiltrant des millions de tickets contenant des données personnelles de clients.
Qilin revendique le vol de données du parti allemand Die Linke
Le ransomware Qilin revendique le vol de données du parti allemand Die Linke. Données internes et personnelles des employés exfiltrées après une intrusion le 26 mars.
Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier
Le ransomware Interlock exploite CVE-2026-20131 (CVSS 10.0) dans Cisco FMC comme zero-day depuis janvier 2026. Correctif disponible, patching urgent requis.
Commentaires (1)
Laisser un commentaire