Des cybercriminels exploitent la fuite accidentelle du code source de Claude Code, l’IA d’Anthropic, pour piéger les développeurs sur Github. De faux dépôts, qui prétendent contenir tout le code de l’IA, renferment en effet un duo de malwares, dont le redoutable Vidar.

Le code source de Claude s’est retrouvé sur Internet. Fin mars 2026, Anthropic a en effet divulgué par erreur tout le code source de son IA générative lors d’une mise à jour de Claude Code. En dépit des efforts de la start-up pour endiguer la propagation d’informations confidentielles, le fichier a été massivement diffusé sur GitHub. La fuite, qui découle d’une erreur humaine survenue chez Anthropic, a révélé plusieurs des projets secrets de l’entreprise, ainsi que le fonctionnement interne de Claude.

Fidèles à leurs habitudes, les cybercriminels n’ont pas tardé à surfer sur l’intérêt généré par le code de Claude. Selon un rapport de Zscaler publié le 2 avril 2026, des pirates ont mis en ligne une copie factice du code source sur la plateforme Github. Le dépôt a été effectué par un compte GitHub baptisé « idbzoomh ». Le fichier prétend contenir l’intégralité du code divulgué par erreur, ainsi que des « fonctionnalités enterprise débloquées ». Le dépôt prend la forme d’une archive 7-Zip. Les « acteurs malveillants réagissent très rapidement pour tirer parti d’un incident médiatisé », souligne Zscaler.

Un duo de virus cachés dans le faux code source de Claude

Dans le dépôt, les chercheurs de Zscaler ont découvert la présence d’un redoutable logiciel malveillant, intitulé Vidar. Bien connu des chercheurs en sécurité, ce malware aspire silencieusement les mots de passe enregistrés dans les navigateurs, les cookies de session, les données de remplissage automatique et les portefeuilles de cryptomonnaies. Une fois installé, il peut compromettre une grande partie de la vie numérique des internautes.

En parallèle, il installe GhostSocks, un malware qui transforme les machines infectées en proxy résidentiels pour permettre aux cybercriminels de dissimuler leurs activités. Depuis l’automne 2023, l’outil est mis à la disposition de tous les pirates sous forme d’abonnement mensuel. Il est vendu autour de 150 dollars en Bitcoin. Zscaler a constaté que l’archive malveillante était mise à jour régulièrement, ce qui laisse supposer que d’autres charges malveillantes pourraient être ajoutées dans un avenir proche. Un second dépôt identique a aussi été détecté par les chercheurs.

Un dépôt malveillant visible sur Google

Les cybercriminels à l’origine de l’opération n’ont pas fait les choses à moitié. Pour s’assurer qu’un maximum de développeurs tombent dans le piège, ils ont optimisé leur dépôt Github pour le référencement sur Google. De facto, le dépôt est apparu parmi les premiers résultats sur des requêtes comme « leaked Claude Code ». Cette astuce « facilite grandement sa découverte par des utilisateurs peu méfiants ». Selon nos constatations, le dépôt n’est plus visible dans les premiers résultats du moteur. Google a peut-être pris des mesures pour déréférencer le dépôt. En parallèle, Anthropic continue de s’activer pour exiger le retrait de toutes les copies de son code source. Selon PCMag, l’entreprise a émis plus de 8 000 demandes de retrait en vertu du DMCA en quelques jours.

Source: Fuite chez Anthropic : comment les pirates profitent de la situation pour propager des virus