Claude Code leak used to push infostealer malware on GitHub

1 minute de lecture

Mis à jour : April 03, 2026

Propagation de logiciels malveillants via la fuite du code source de Claude Code

À la suite de la fuite accidentelle du code source de l’agent IA « Claude Code » d’Anthropic (initialement publié par erreur dans un paquet npm), des acteurs malveillants exploitent l’intérêt suscité par cet événement pour distribuer des logiciels malveillants via des dépôts GitHub frauduleux. Ces dépôts, optimisés pour le référencement (SEO), attirent les utilisateurs en promettant des fonctionnalités « déverrouillées » ou sans restriction.

Points clés :

Vecteur d’attaque : Utilisation de dépôts GitHub contrefaits se faisant passer pour le code source « fuité » de Claude Code.
Mode opératoire : Les utilisateurs téléchargent une archive 7-Zip contenant un exécutable Rust (ClaudeCode_x64.exe) qui déploie le malware Vidar.
Charges utiles : En plus de l’infostealer Vidar, l’attaquant déploie l’outil GhostSocks pour le proxy de trafic réseau.
Stratégie : Les attaquants optimisent leurs dépôts pour apparaître dans les premiers résultats de recherche Google afin de maximiser les infections.

Vulnérabilités :

Aucune CVE spécifique n’est associée à cette campagne, car il s’agit d’une attaque basée sur l’ingénierie sociale exploitant une fuite de données préalable (l’exposition du code source par Anthropic).

Recommandations :

Vigilance accrue : Ne jamais télécharger ni exécuter de fichiers provenant de dépôts GitHub non officiels ou suspects, même en réponse à des fuites de logiciels populaires.
Sources officielles : Utiliser exclusivement les canaux de distribution officiels fournis par les éditeurs de logiciels (Anthropic).
Sécurité des terminaux : S’assurer que les solutions antivirus et EDR sont actives et à jour pour détecter les signatures connues de Vidar et des outils de proxy malveillants.
Prudence avec le code open-source : Lors de l’examen de dépôts tiers, vérifier systématiquement l’historique des commits, la réputation du mainteneur et le contenu des exécutables avant toute exécution.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Claude Code leak used to push infostealer malware on GitHub

Propagation de logiciels malveillants via la fuite du code source de Claude Code

Partager sur

Vous pourriez aimer

Why Third-Party Risk Is the Biggest Gap in Your Clients Security Posture

L’essor de la gestion des risques tiers (TPRM) : Un impératif stratégique

UNC1069 Social Engineering of Axios Maintainer Led to npm Supply Chain Attack

Compromission de la chaîne d’approvisionnement npm : L’attaque ciblée contre Axios

TeamPCP Supply Chain Campaign: Update 006 - CERT-EU Confirms European Commission Cloud Breach, Sportradar Details Emerge, and Mandiant Quantifies Campaign at 1,000+ SaaS Environments, (Fri, Apr 3rd)

État des lieux de la campagne de cyberattaques TeamPCP

New SparkCat Variant in iOS, Android Apps Steals Crypto Wallet Recovery Phrase Images

Menace mobile : Le malware SparkCat cible les portefeuilles crypto via OCR