● Korben 📅 12/05/2026 à 12:09

Géopolitique 👤 Vincent Lautier

🏷️ Tags : chine anthropic rte

Des faux installateurs Claude Code se baladent dans Google12 mai 2026 / PAR VINCENT LAUTIER / 2 MIN DE LECTURE /Catégories connexes Écouter cet article ~ 3 minCe qu’il faut retenirDes chercheurs d'Ontinue ont découvert une campagne de vol de données ciblant les développeurs via de faux installateurs Claude Code apparus dans les résultats sponsorisés Google, qui imitent la doc officielle d'Anthropic mais redirigent vers un serveur malveillant.La commande PowerShell malveillante est générée dynamiquement en HTML pour échapper aux scans de sécurité automatiques, puis un loader de 600 Ko s'exécute et abuse de IElevator2 (interface Chromium lancée en janvier 2026) pour extraire les clés de déchiffrement et voler cookies, mots de passe et infos de paiement.Le malware ne correspond à aucune famille connue (Lumma, StealC, Vidar), se rapprochant davantage de Glove Stealer détecté en novembre 2024, et trois domaines pirates ont été enregistrés en avril derrière Cloudflare pour compliquer le takedown.Résumé généré par IADes faux installateurs Claude Code se baladent dans GoogleLes chercheurs d'Ontinue, une boîte de cybersécurité, ont publié une analyse d'une campagne de vol de données qui vise directement les développeurs.La méthode est en fait assez simple. Vous tapez "install claude code" dans Google, vous cliquez, plein d'innocence, sur le premier résultat sponsorisé, et là vous tombez sur une page qui ressemble trait pour trait à la doc officielle d'Anthropic. Sauf que le serveur derrière n'a rien à voir, et la commande d'installation à copier-coller a été modifiée.L'astuce technique est intéressante. La commande PowerShell affichée n'est pas visible dans le code source qu'un scanner automatique pourrait analyser, elle est générée à la volée dans le HTML de la page. Du coup, les scans de sécurité voient du contenu légitime, l'utilisateur copie une commande malveillante, et paf, un loader PowerShell d'environ 600 Ko se lance discrètement.Ce loader essaie ensuite quelque chose de carrément vicieux. Il abuse de IElevator2, une interface interne de Chromium (le moteur derrière Chrome, Edge, Brave, Vivaldi, Opera) lancée en janvier 2026 par Google pour mieux protéger les cookies et mots de passe avec un chiffrement renforcé. Le malware injecte un petit module dans le navigateur pour appeler cette interface depuis l'intérieur, ce qui lui permet de récupérer les clés et de déchiffrer toute la base. Cookies de session, mots de passe enregistrés, infos de paiement. Tout y passe.Trois domaines pirates ont été enregistrés sur six jours en avril, tous derrière Cloudflare pour compliquer le takedown. Le bout de code utilisé ne correspond à aucune famille de malware connue (Lumma, StealC, Vidar). Le plus proche serait Glove Stealer, repéré en novembre 2024, mais avec une orchestration différente. Bref, ce serait un nouveau venu fabriqué exprès pour cette campagne.Et la cible, c'est précisément les développeurs. Ce sont eux qui installent Claude Code (l'outil en ligne de commande d'Anthropic pour coder avec l'IA, concurrent direct de Cursor).Et un développeur, dans son navigateur, c'est l'accès à GitHub, à AWS, à des dashboards de production, à des comptes Cloud, à des secrets qui se revendent potentiellement très cher. Les défenses classiques qui surveillent les exécutables natifs ne voient rien, tout se joue au niveau de l'appel COM (la mécanique Windows qui permet à des programmes de se parler entre eux) et de PowerShell.Petit conseil : passez par anthropic.com directement, jamais par un résultat sponsorisé. Si vous avez collé une commande douteuse récemment, c'est le moment de regarder ce qui tourne sur votre machine.Source : Infosecurity MagazineRéférenceshttp://anthropic.com/https://www.infosecurity-magazine.com/news/fake-claude-code-installer/Cet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Vous avez aimé cet article ?Alors rejoignez ma communauté sur Patreon et accédez à des articles exclusifs, des tutos avancés et plein d'autres surprises que je réserve à mes soutiens. C'est grâce à vous que je peux continuer à partager ma passion depuis 20 ans !Rejoindre l'aventure Que faire après le bac quand on est passionné de cybersécurité ?Contenu partenaireEntièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).Guardia CS forme aussi les professionnels à la cybersécurité via plusieurs formations en ligneVoir le site internet de l'école de cybersécurité Guardia CS📬 La newsletter Korben — Un concentré de tech, d'actu et de bidouille dans votre boite mail. S'inscrire

🔗 Lire l'article original 👁️ 0 lecture