Des cybercriminels exploitent la fuite du code source de Claude Code pour distribuer le malware Vidar via de faux dépôts GitHub optimisés pour le référencement.
En bref
- Des cybercriminels exploitent la fuite accidentelle du code source de Claude Code pour piéger les développeurs curieux
- De faux dépôts GitHub distribuent le stealer Vidar et le proxy GhostSocks via une archive piégée
- Tout développeur ayant téléchargé un prétendu « Claude Code déverrouillé » doit immédiatement scanner sa machine
Ce qui s'est passé
Le 31 mars 2026, Anthropic a accidentellement exposé le code source complet côté client de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le paquet npm publié. Cette fuite contenait 513 000 lignes de TypeScript non obfusqué réparties sur 1 906 fichiers, révélant la logique d'orchestration de l'agent, ses systèmes de permissions et d'exécution, selon BleepingComputer.
Des acteurs malveillants ont immédiatement saisi l'opportunité. Un dépôt GitHub publié par l'utilisateur « idbzoomh » propose un faux leak promettant des « fonctionnalités entreprise déverrouillées » et aucune restriction d'utilisation. Le dépôt est optimisé pour les moteurs de recherche et apparaît parmi les premiers résultats Google pour des requêtes comme « leaked Claude Code », d'après l'analyse de BleepingComputer.
Les utilisateurs qui téléchargent l'archive 7-Zip y trouvent un exécutable Rust nommé ClaudeCode_x64.exe. Une fois lancé, ce dropper déploie Vidar, un infostealer bien connu du milieu cybercriminel, accompagné de GhostSocks, un outil de proxy réseau permettant aux attaquants de router leur trafic à travers les machines compromises. Les données volées incluent les identifiants navigateur, les cookies de session et les portefeuilles de cryptomonnaies.
Pourquoi c'est important
Cette campagne illustre parfaitement comment les fuites de code d'outils IA populaires deviennent des vecteurs d'attaque par ingénierie sociale. Les développeurs, naturellement curieux de comprendre le fonctionnement interne de Claude Code, constituent une cible de choix : leurs machines contiennent souvent des clés API, des tokens d'accès et des credentials cloud à haute valeur.
Le fait que Vidar soit couplé à GhostSocks aggrave le risque : non seulement les données sont exfiltrées, mais la machine compromise devient un nœud de proxy pour d'autres activités malveillantes. Ce type de chaîne d'attaque supply chain ciblant les développeurs s'est multiplié en 2026, après les incidents npm Axios et les faux paquets PyPI.
Ce qu'il faut retenir
- Ne jamais télécharger de code source « leaké » depuis des dépôts GitHub non vérifiés, surtout s'il promet des fonctionnalités déverrouillées
- Les développeurs ayant recherché « leaked Claude Code » sur Google doivent vérifier leur historique de téléchargements et scanner leur système
- Utiliser des outils de détection EDR et surveiller les connexions réseau sortantes inhabituelles, signature typique de GhostSocks
Comment savoir si ma machine est infectée par Vidar ?
Recherchez la présence de processus suspects dans le gestionnaire de tâches, vérifiez les connexions réseau sortantes inhabituelles avec netstat ou Wireshark, et lancez un scan complet avec un antivirus à jour. Vidar laisse généralement des traces dans les dossiers temporaires et modifie les bases de données des navigateurs pour exfiltrer les credentials stockés.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
SparkCat : un malware vole les cryptos depuis les stores mobiles
Le malware SparkCat refait surface sur l'App Store et Google Play, utilisant l'OCR pour voler les phrases de récupération de portefeuilles crypto.
Microsoft lance ses propres modèles IA pour défier OpenAI
Microsoft dévoile trois modèles IA fondationnels maison — MAI-Transcribe-1, MAI-Voice-1 et MAI-Image-2 — pour réduire sa dépendance envers OpenAI.
PTC Windchill : la police allemande réveille les admins
La police allemande a physiquement alerté les entreprises d'une faille CVSS 10 dans PTC Windchill. Aucun correctif disponible, mitigation urgente requise.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire