Dans un article de blog publié le 1er avril 2026, les chercheurs de Zscaler ThreatLabz ont mis en lumière une campagne cybercriminelle opportuniste : des acteurs malveillants ont exploité la récente fuite du code source de Claude Code pour piéger des développeurs et leur faire télécharger des infostealers.

Le 31 mars 2026, X est en effervescence. Anthropic aurait exposé par erreur l’intégralité du code source de Claude Code.

Rapidement, des comptes mettent à disposition le fichier incriminé, et en quelques heures celui-ci est téléchargé, copié et redistribué des dizaines de milliers de fois sur GitHub. Certains dépôts cumulent rapidement plus de 84 000 étoiles et des dizaines de milliers de copies.

Le contenu de la fuite exacerbe l’enthousiasme : plus de 513 000 lignes de code réparties sur près de 1 906 fichiers, révélant l’architecture interne de l’agent, ses mécanismes de permissions, ses systèmes de mémoire et des dizaines de fonctionnalités expérimentales dont une vingtaine n’avaient encore jamais été évoquées.

Depuis, Anthropic a bien tenté de limiter les dégâts via des notices visant à imposer le retrait immédiat des copies, mais le code circule très largement sur des centaines de dépôts publics.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.

Problème, le dernier rapport de Zscaler démontre que l’engouement suscité chez les développeurs curieux, chercheurs, ingénieurs voulant tenter une rétro-ingénierie du code, n’a pas échappé aux cybercriminels.

Le troisième résultat Google affichait un dépôt piégé // Source : Zscaler
Le troisième résultat Google affichait un dépôt piégé. // Source : Zscaler

Les hackers ont su profiter de l’engouement

En surveillant GitHub, les analystes de ThreatLabz ont identifié un dépôt publié par le compte idbzoomh, présenté comme une version améliorée du code source de Claude Code. La documentation affirme par exemple que le fork (une version dérivée) est enrichi de certaines fonctionnalités et que les limites de messages ont été supprimées.

Le dépôt n’est pas passé inaperçu, les chercheurs l’ont retrouvé directement dans les résultats Google en tapant « leaked Claude Code ».

Glissé au milieu des différents fichiers se trouvait une archive contenant un programme conçu pour installer discrètement des logiciels malveillants sur la machine d’installation : Vidar v18.7 et GhostSocks.

Vidar est un infostealer bien connu, capable d’aspirer identifiants, cookies de session, données de portefeuilles crypto et captures d’écran. GhostSocks, lui, transforme la machine compromise en proxy réseau, utile notamment pour faire transiter du trafic frauduleux via l’adresse IP de la victime.

Le pirate veillait par ailleurs à régulièrement mettre à jour l’archive pour contourner les mesures de protection de GitHub. Un second dépôt identique, hébergé sous un compte différent mais portant la signature du même hacker, a également été identifié par les chercheurs de Zscaler.

L’engouement comme vecteur d’attaque

Selon le média britannique The Register, le 2 avril 2026, au moins deux dépôts de code source de Claude Code, infectés par un cheval de Troie, restaient disponibles sur GitHub, et l’un d’eux comptait 793 forks et 564 étoiles d’appréciation.

Évidemment, ce n’est pas la première fois que des acteurs malveillants exploitent un événement à forte résonance pour mener des campagnes cybercriminelles.

Qu’il s’agisse d’une fuite, d’une sortie très attendue ou d’un produit présenté comme exclusif, l’effet de rareté ou de curiosité fonctionne, y compris dans la communauté tech.

Le blog de Zscaler inclut une liste complète d’indicateurs de compromission : URLs des dépôts malveillants, et adresses des serveurs de Vidar et GhostSocks. N’hésitez pas à le consulter et, comme toujours, soyez vigilant quant aux fichiers que vous téléchargez.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !