Des cybercriminels exploitent la fuite du code source de Claude Code pour distribuer le malware Vidar via de faux dépôts GitHub optimisés pour le référencement.
En bref
- Des cybercriminels exploitent la fuite accidentelle du code source de Claude Code pour piéger les développeurs curieux
- De faux dépôts GitHub distribuent le stealer Vidar et le proxy GhostSocks via une archive piégée
- Tout développeur ayant téléchargé un prétendu « Claude Code déverrouillé » doit immédiatement scanner sa machine
Ce qui s'est passé
Le 31 mars 2026, Anthropic a accidentellement exposé le code source complet côté client de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le paquet npm publié. Cette fuite contenait 513 000 lignes de TypeScript non obfusqué réparties sur 1 906 fichiers, révélant la logique d'orchestration de l'agent, ses systèmes de permissions et d'exécution, selon BleepingComputer.
Des acteurs malveillants ont immédiatement saisi l'opportunité. Un dépôt GitHub publié par l'utilisateur « idbzoomh » propose un faux leak promettant des « fonctionnalités entreprise déverrouillées » et aucune restriction d'utilisation. Le dépôt est optimisé pour les moteurs de recherche et apparaît parmi les premiers résultats Google pour des requêtes comme « leaked Claude Code », d'après l'analyse de BleepingComputer.
Les utilisateurs qui téléchargent l'archive 7-Zip y trouvent un exécutable Rust nommé ClaudeCode_x64.exe. Une fois lancé, ce dropper déploie Vidar, un infostealer bien connu du milieu cybercriminel, accompagné de GhostSocks, un outil de proxy réseau permettant aux attaquants de router leur trafic à travers les machines compromises. Les données volées incluent les identifiants navigateur, les cookies de session et les portefeuilles de cryptomonnaies.
Pourquoi c'est important
Cette campagne illustre parfaitement comment les fuites de code d'outils IA populaires deviennent des vecteurs d'attaque par ingénierie sociale. Les développeurs, naturellement curieux de comprendre le fonctionnement interne de Claude Code, constituent une cible de choix : leurs machines contiennent souvent des clés API, des tokens d'accès et des credentials cloud à haute valeur.
Le fait que Vidar soit couplé à GhostSocks aggrave le risque : non seulement les données sont exfiltrées, mais la machine compromise devient un nœud de proxy pour d'autres activités malveillantes. Ce type de chaîne d'attaque supply chain ciblant les développeurs s'est multiplié en 2026, après les incidents npm Axios et les faux paquets PyPI.
Ce qu'il faut retenir
- Ne jamais télécharger de code source « leaké » depuis des dépôts GitHub non vérifiés, surtout s'il promet des fonctionnalités déverrouillées
- Les développeurs ayant recherché « leaked Claude Code » sur Google doivent vérifier leur historique de téléchargements et scanner leur système
- Utiliser des outils de détection EDR et surveiller les connexions réseau sortantes inhabituelles, signature typique de GhostSocks
Comment savoir si ma machine est infectée par Vidar ?
Recherchez la présence de processus suspects dans le gestionnaire de tâches, vérifiez les connexions réseau sortantes inhabituelles avec netstat ou Wireshark, et lancez un scan complet avec un antivirus à jour. Vidar laisse généralement des traces dans les dossiers temporaires et modifie les bases de données des navigateurs pour exfiltrer les credentials stockés.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire