Hausse des malwares se faisant passer pour Claude Code

(app-place-tech.com)

3 points par nextvine 25 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp

[Actualité] Alerte à la propagation de malwares sophistiqués exploitant la fuite du code source de « Claude Code » d’Anthropic

Depuis un récent incident où le code source de « Claude Code », l’outil de codage IA en ligne de commande d’Anthropic, a été divulgué à cause d’une erreur de configuration de build, les attaques sophistiquées de supply chain et les attaques d’ingénierie sociale qui l’exploitent se multiplient rapidement, ce qui exige une vigilance particulière de la part des développeurs.

1. Origine de l’incident : fuite du code source due à une erreur de configuration du runtime Bun

Le 31 mars dernier, Anthropic a inclus par erreur un fichier source map (cli.js.map) lors de la publication du package npm officiel (@anthropic-ai/claude-code v2.1.88).

2. Principaux vecteurs d’attaque : « InstallFix » et « GitHub Bait »

Les attaquants ont analysé le code divulgué pour reproduire à l’identique l’UX et le mécanisme d’installation de Claude Code, puis diffusent des malwares via les canaux suivants.

Campagne InstallFix (SEO poisoning) : affichage de sites de phishing en tête des publicités Google sur le mot-clé « Claude Code install ».
Faux dépôts GitHub : en attirant les victimes avec des expressions comme « unlocked » ou « enterprise feature », ils prétendent proposer des versions modifiées de la fuite et distribuent des binaires contenant Vidar (infostealer) et GhostSocks (malware proxy).
Usurpation d’extensions VS Code : des extensions se faisant passer pour l’application officielle d’Anthropic exécutent powershell et mshta en arrière-plan pour mener des attaques fileless.

3. Menace sur la sécurité de la supply chain (npm typosquatting)

Les attaquants, après avoir identifié dans le code divulgué les noms des dépendances internes, ont également été observés en train de réserver des noms de packages comme audio-capture-napi et url-handler-napi, qui ressemblent à des modules internes de Claude Code, en vue de préparer des attaques de dependency confusion.

4. Guide de réponse

Vérifier la source d’installation
Faire attention au copier-coller
Épingler les packages
Détecter les incidents liés

Résumé en une ligne : ne cherchez pas Claude Code sur Google pour copier-coller directement une commande dans votre terminal. Le risque d’infection par un infostealer via de fausses pages est très élevé.