Des acteurs malveillants tirent parti de la récente fuite du code source de Claude Code pour propager le malware Vidar, dédié au vol d’informations, via de faux dépôts sur GitHub.
Développé par Anthropic, Claude Code est un agent d’intelligence artificielle fonctionnant dans un terminal, conçu pour exécuter des tâches de codage de manière autonome. Il intègre des capacités de gestion d’appels API, d’interaction directe avec le système et une mémoire persistante.
Le 31 mars, un erreurs lors de la publication d’un package npm a conduit à l’exposition accidentelle de l’intégralité du code source côté client du nouvel outil, totalisant 59,8 Mo. Cette fuite a compris 513 000 lignes de TypeScript non obfusquées, réparties sur 1 906 fichiers, révélant la logique d’orchestration, les systèmes d’autorisation, ainsi que des détails internes de sécurité.
Le code exposé a été rapidement téléchargé par de nombreux utilisateurs et a été partagé sur GitHub, où il a été forké des milliers de fois.
Un rapport de la société de sécurité cloud Zscaler souligne que cette fuite a créé un terrain fertile pour les criminels, qui ont commencé à diffuser Vidar aux utilisateurs à la recherche de cette fuite de code.
Les chercheurs ont identifié un dépôt malveillant sur GitHub, créé par un utilisateur se faisant appeler “idbzoomh”, qui a publié une fuite fictive en la présentant comme contenant des “fonctionnalités d’entreprise débloquées” sans restrictions d’utilisation.
Source: Zscaler
Pour maximiser le trafic vers cette fausse fuite, le dépôt a été optimisé pour le référencement, apparaissant parmi les premiers résultats sur Google pour des requêtes telles que “fuite Claude Code”.
Source: Zscaler
Les utilisateurs curieux téléchargent ainsi une archive compressée contenant un exécutable basé sur Rust, nommé ClaudeCode_x64.exe. Lorsque cet exécutable est lancé, il déploie Vidar ainsi qu’un outil de proxy réseau nommé GhostSocks.
Zscaler a noté que l’archive malveillante est mise à jour régulièrement, ce qui laisse présager l’ajout d’autres charges utiles à l’avenir.
Les chercheurs ont également mis en lumière un second dépôt GitHub avec un code identique, affichant un bouton « Download ZIP », non fonctionnel au moment de l’analyse. Zscaler estime qu’il est géré par le même acteur malveillant qui teste ses méthodes de diffusion.
Source: Zscaler
Malgré les mesures de défense mises en place sur GitHub, la plateforme a souvent été exploitée pour distribuer des charges malveillantes sous diverses formes.
Des campagnes menées fin 2025 ciblèrent des chercheurs peu expérimentés ou des cybercriminels en recherchant des dépôts prétendant héberger des exploits de preuve de concept pour des vulnérabilités récemment divulguées.
Les attaquants ont montré une agilité notoire à capitaliser sur des événements largement médiatisés, cherchant à réaliser des compromissions opportunistes.