Le récent incident autour de Claude Code - le nouvel outil d'Anthropic conçu pour effectuer des tâches de programmation directement depuis le terminal - n'a pas seulement exposé le code sensible : il a également ouvert une porte aux criminels numériques pour profiter du bruit médiatique et contaminer ceux qui cherchent l'"évasion" originale. Ce qui a commencé comme une fuite accidentelle de code client a fini par devenir une campagne de distribution de logiciels malveillants camouflé dans les dépôts GitHub qui ont promis la version "complète" ou avec "fonctions déverrouillées".
La racine du problème était un paquet publié dans npm qui comprenait à tort une carte source avec des milliers de fichiers TypeScript sans ofuscar. Cette carte contenait un énorme volume de code, avec des détails de l'orchestration de l'agent, des permissions, des systèmes d'exécution et d'autres mécanismes internes que nous ne verrions normalement pas dans un paquet client. En quelques heures, le matériel a été largement téléchargé et reproduit dans plusieurs dépôts publics, où il a été cloné et bifurqué par des milliers d'utilisateurs à la recherche de nouveauté.
Cette même frénésie a attiré l'attention des acteurs malveillants. Selon des chercheurs de l'industrie, des dépôts frauduleux ont été détectés qui promettaient d'abriter l'« évasion », mais qui étaient en fait conçus pour attirer des téléchargements de curieux et de professionnels qui voulaient semer le code. Les attaquants ont optimisé ces dépôts pour apparaître dans les premiers résultats de recherche sous le nom de « code Claude laissé », afin de diriger le trafic de masse vers des fichiers malveillants. L'astuce est tenue dans la confiance que beaucoup mettent dans GitHub comme une source centrale ouverte.
Dans les cas analysés, le piège a été présenté comme un fichier compressé (.7z) contenant un exécutable dans Rust - avec un nom qui a évoqué le projet original. Lorsqu'il a été exécuté, le "dropper" a déployé l'infostealer connu sous le nom de Vidar, accompagné d'outils mandataires pour couvrir le trafic sortant. Vidar est un malware de type info-voleur conçu pour collecter des informations et des données sensibles ; son utilisation ici est opportuniste : les agresseurs profitent de la curiosité de la fuite présumée pour réaliser des exécutions sur des machines victimes. Les équipes de recherche ont également observé que les paquets malveillants sont fréquemment mis à jour, suggérant que les opérateurs peuvent ajouter de nouveaux modules dans les futures itérations.
Les incidents confirment une leçon ancienne mais actuelle : les dépôts sur les plateformes légitimes peuvent être utilisés comme vecteurs de distribution si l'utilisateur final ne vérifie pas la source ou n'inspecte pas ce que vous téléchargez. Bien que GitHub ait des mécanismes de retenue et de blocage, l'ampleur et la vitesse avec lesquelles des renseignements sensibles sont reproduits - ou des pièges sont montés sur ces renseignements - compliquent le confinement. Historiquement, les événements publics et les fuites ont fonctionné comme des appâts irrésistibles pour les attaquants qui cachent des charges nocives dans des projets qui semblent inoffensifs ou d'intérêt technique.
Cela nécessite un double exercice : d'une part, les organisations qui libèrent des logiciels doivent exercer des contrôles extrêmes sur leurs chaînes d'approvisionnement pour éviter une exposition accidentelle (examen emballé dans npm, cartes sources et dispositifs générés par les outils de construction). D'autre part, les développeurs et les chercheurs qui plongent dans des dépôts devraient le faire avec prudence: ne jamais gérer des binaires d'origine inconnue sans les analyser d'abord dans un environnement isolé, vérifier les signatures officielles et les hachages, et préférer les téléchargements à partir des sources officielles du projet.
Si vous souhaitez approfondir le contexte technique et les analyses publiées sur la campagne et l'évasion originale, il est conseillé de consulter les notes et rapports des équipes de recherche et des médias spécialisés. Anthropic conserve des informations sur ses produits et mises à jour sur son site officiel https: / / www.anthropic.com. Les groupes de sécurité qui ont documenté l'exploitation et le rassemblement de dépôts malveillants publient leurs conclusions sur des blogs techniques, par exemple dans la section de recherche Zscaler https: / / www.zscaler.com / blogs / sécurité-recherche, et les médias spécialisés comme Bleeping Computer suivent de près les campagnes de malware et abus des plateformes publiques https: / / www.bleepingcomputer.com / actualités / sécurité /. Pour comprendre le rôle des plateformes et des mesures de sécurité publique, le blog de GitHub et son laboratoire de sécurité offrent un contexte sur les menaces et l'atténuation https: / / securitylab.github.com.
À court terme, la chose la plus pratique pour ceux qui enquêtent ou sont simplement curieux au sujet des fuites publiques est de maintenir une routine de vérification : vérifier les signatures et les sommes de vérification, éviter l'exécution directe d'exécutables inconnus, analyser des artefacts dans des bacs à sable ou des machines virtuelles, et compter sur des solutions de détection qui inspectent les comportements et pas seulement les signatures statiques. Pour les équipes et les gestionnaires de projet, il est essentiel d'examiner la construction de pipelines et de publier des artefacts avec le moins d'information sensible possible; les cartes des sources et d'autres produits auxiliaires peuvent révéler plus que désiré s'ils sont exposés accidentellement.
L'épisode de Claude Code rappelle que l'intersection entre divulgation publique, curiosité technique et affaires de malware est un terrain fertile pour les abus. Il ne s'agit pas seulement d'une erreur de publication de code : c'est un rappel sur la façon dont l'information technique est gérée et consommée à l'ère de la recherche instantanée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...