Le 1er avril 2026, les chercheurs de Zscaler ThreatLabz ont révélé dans un rapport détaillé une campagne cybercriminelle exploitant la récente fuite du code source de Claude Code, développé par l’entreprise Anthropic. Selon Numerama, des acteurs malveillants ont profité de l’engouement suscité par ce leak pour piéger des développeurs et leur faire télécharger des logiciels malveillants.

Ce qu'il faut retenir

  • Le 31 mars 2026, le code source complet de Claude Code a été exposé par erreur, contenant 513 000 lignes de code réparties sur 1 906 fichiers.
  • En quelques heures, des comptes sur GitHub ont mis à disposition ce fichier, qui a été téléchargé, copié et redistribué des dizaines de milliers de fois.
  • Les cybercriminels ont créé des dépôts piégés proposant une version « améliorée » du code, contenant en réalité des malwares comme Vidar v18.7 et GhostSocks.
  • Vidar est un infostealer capable de voler des identifiants, des cookies de session, des données de portefeuilles cryptomonnaies et des captures d’écran.
  • GhostSocks transforme la machine compromise en proxy réseau, permettant de faire transiter du trafic frauduleux via l’adresse IP de la victime.

Une fuite massive et rapide sur GitHub

La fuite du code source de Claude Code, rendue publique le 31 mars 2026, a rapidement suscité un intérêt massif au sein de la communauté des développeurs. Selon les données recueillies par Numerama, des comptes sur GitHub ont proposé des copies du fichier, qui a été téléchargé et redistribué des dizaines de milliers de fois en quelques heures seulement. Certains dépôts ont même cumulé plus de 84 000 étoiles et des dizaines de milliers de forks (copies). Malgré les efforts d’Anthropic pour limiter la diffusion du code via des notices de retrait, celui-ci circule toujours largement sur des centaines de dépôts publics.

L’ampleur de la fuite a également révélé des détails inédits sur l’architecture interne de Claude Code, incluant ses mécanismes de permissions, ses systèmes de mémoire et une vingtaine de fonctionnalités expérimentales encore jamais évoquées. Ce contenu technique a exacerbé l’engouement, attirant autant les chercheurs que les cybercriminels en quête d’opportunités malveillantes.

Des dépôts piégés pour infecter les machines

Les analystes de Zscaler ThreatLabz ont identifié un dépôt malveillant publié sous le compte idbzoomh, présenté comme une version améliorée du code source de Claude Code. Selon le rapport, la documentation du dépôt affirmait que cette version était enrichie de fonctionnalités et que les limites de messages avaient été supprimées. Ce dépôt est même apparu directement dans les résultats de recherche Google en tapant « leaked Claude Code ».

Glissé parmi les fichiers se trouvait une archive contenant deux logiciels malveillants : Vidar v18.7, un infostealer bien connu, et GhostSocks, un outil permettant de transformer la machine compromise en proxy réseau. Les pirates mettaient régulièrement à jour l’archive pour contourner les mesures de sécurité de GitHub. Un second dépôt identique, hébergé sous un autre compte, a également été repéré par les chercheurs, suggérant une campagne organisée.

Une campagne qui s’inscrit dans une logique opportuniste

Le 2 avril 2026, le média britannique The Register a confirmé la présence d’au moins deux dépôts infectés par un cheval de Troie, dont l’un affichait 793 forks et 564 étoiles. Comme l’a souligné Numerama, cette exploitation de l’engouement généré par une fuite ou un événement majeur n’est pas inédite dans le milieu cybercriminel. Qu’il s’agisse d’une sortie très attendue ou d’un produit exclusif, l’effet de rareté ou de curiosité fonctionne, y compris auprès des professionnels de la tech.

« Ce type de campagne illustre la rapidité avec laquelle les cybercriminels savent exploiter les opportunités générées par des événements à forte résonance médiatique, même dans des cercles aussi techniques que celui des développeurs. » — Extrait du rapport de Zscaler ThreatLabz, publié le 1er avril 2026

Et maintenant ?

Les chercheurs de Zscaler ThreatLabz ont publié une liste complète d’indicateurs de compromission, incluant les URLs des dépôts malveillants ainsi que les adresses des serveurs associés à Vidar et GhostSocks. Les utilisateurs sont invités à consulter ces informations et à redoubler de vigilance lors du téléchargement de fichiers, surtout lorsqu’il s’agit de code source ou de logiciels techniques. La question reste entière : comment Anthropic et GitHub parviendront-ils à endiguer durablement la diffusion de ce code et des dépôts malveillants associés ? La réponse pourrait dépendre de l’efficacité des mesures de modération et de la réactivité des plateformes face à ce type de campagnes.

Pour l’heure, les chercheurs rappellent que les indicateurs de compromission sont disponibles sur le blog de Zscaler ThreatLabz, invitant les professionnels à vérifier l’intégrité des fichiers avant toute installation. Cette affaire rappelle aussi l’importance de la prudence, même dans un environnement aussi technique que celui du développement logiciel.

Reste à voir si d’autres dépôts malveillants émergeront dans les prochains jours ou si les mesures de retrait mises en place par Anthropic et GitHub parviendront à limiter la propagation. Une chose est sûre : la communauté des développeurs devra redoubler de vigilance face à ce type de menaces opportunistes.

Les chercheurs de Zscaler ThreatLabz recommandent de consulter les indicateurs de compromission publiés dans leur rapport, disponibles sur leur blog. Il est également conseillé de vérifier les commentaires et l’historique des contributions avant de télécharger un fichier, et d’utiliser des outils de détection de malwares comme VirusTotal pour analyser les archives.

Si vous avez déjà téléchargé et exécuté un fichier suspect, il est recommandé de lancer une analyse complète avec un antivirus à jour et de changer immédiatement vos identifiants et mots de passe stockés sur la machine. En cas de doute, consultez un expert en cybersécurité pour vérifier l’intégrité de votre système.