Brief IA : Claude Code : des fausses pubs cachent un malware redoutable

Claude Code : des fausses pubs cachent un malware redoutable

Brief IA
Tom Levy·3 min·3 vues

Des cybercriminels exploitent des fausses publicités pour Claude Code d'Anthropic et OpenClaw afin de propager des infostealers, ciblant spécifiquement les développeurs. Trois types de malware ont été identifiés, soulignant une menace croissante pour la sécurité des outils d'IA et la nécessité d'une vigilance accrue dans leur utilisation.

En bref
1Des cybercriminels imitent Claude Code d'Anthropic pour diffuser des infostealers, ciblant les développeurs via de fausses publicités.
2Les publicités frauduleuses redirigent vers un site cloné sur Squarespace, trompant même les utilisateurs les plus vigilants.
3Les malwares Amatera et AMOS ciblent respectivement Windows et Mac, exposant données personnelles et professionnelles.
💡Pourquoi c'est importantLes développeurs, souvent en quête d'outils IA, risquent de compromettre des informations sensibles, menaçant la sécurité des entreprises.
Le brief IA que lisent les pros

Tu codes avec l’IA ?

Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Des cybercriminels ont réussi à imiter Claude Code et d'autres outils d'IA pour infecter les développeurs avec des infostealers, des voleurs d'informations. Les experts tirent la sonnette d'alarme.

Les chercheurs en cybersécurité de Kaspersky ont récemment découvert une campagne malveillante ciblant les développeurs cherchant à installer Claude Code, l'agent IA d'Anthropic. Le stratagème est bien ficelé, avec des fausses publicités qui apparaissent en tête des moteurs de recherche, une page clonée trompant même les plus vigilants, et des infostealers qui s'installent silencieusement. Des données personnelles aux secrets d'entreprise, en passant par les accès aux cryptomonnaies, tout y passe.

Une fausse page Claude Code si convaincante qu'elle trompe même les plus avisés

Le piège commence par un geste quotidien : taper la requête « Claude Code download » dans un moteur de recherche. Le problème est que parmi les premiers résultats, des publicités frauduleuses se glissent discrètement. Elles sont presque impossibles à distinguer des annonces légitimes. L'une d'elles redirige vers un site hébergé sur Squarespace qui reproduit parfaitement la page officielle d'Anthropic. La mise en page est identique et les instructions sont copiées mot pour mot. En somme, rien ne trahit l'imposture.

L'utilisateur suit les instructions à la lettre, exécute les commandes proposées et installe sans le savoir un logiciel espion à la place de l'outil attendu. Aucun message d'erreur ni signal d'alarme ne se manifeste, tout se déroule comme si l'installation était légitime. C'est là toute la perversité du procédé, qui exploite la confiance naturelle accordée à une page semblant officielle, et la rapidité avec laquelle les développeurs exécutent ce genre de commandes sans les questionner.

Windows ou Mac, personne n'est épargné par ces infostealers

Le malware installé varie selon que la victime utilise Windows ou Mac. Sur Windows, c'est Amatera qui s'exécute. Ce dernier fouille méthodiquement l'ordinateur, les dossiers personnels, l'historique des navigateurs, les portefeuilles de cryptomonnaies, avant d'envoyer le butin vers un serveur contrôlé par les attaquants. Ce logiciel malveillant fonctionne comme un service loué entre cybercriminels : ses créateurs le mettent à disposition de n'importe quel hacker prêt à payer, sur le modèle du malware-as-a-service, comme observé dans des campagnes ClickFix récemment.

Les utilisateurs de Mac ne sont pas épargnés. Ici, c'est AMOS qui s'en charge. Il s'agit d'un logiciel espion que Kaspersky a déjà rencontré dans plusieurs attaques ciblant les appareils Apple. Au-delà des données personnelles, c'est surtout le risque professionnel qui préoccupe les experts. Vladimir Gursky, spécialiste en cybersécurité chez Kaspersky, affirme que ces campagnes sont « particulièrement dangereuses pour les entreprises dont les développeurs s'appuient sur des outils de codage assistés par l'IA », car une infection peut suffire à exposer le code source d'un projet, des accès confidentiels ou des données internes, sans que personne ne s'en aperçoive.

Ce comportement des pirates n'est pas nouveau, puisque, en décembre 2025, Kaspersky avait déjà démantelé une arnaque similaire où des publicités Google usurpaient l'image de ChatGPT pour inciter les utilisateurs à télécharger un faux navigateur, Atlas Browser. Pour éviter de tomber dans le piège, il est essentiel de :

  • Vérifier que le lien de téléchargement pointe bien vers le site officiel du projet.
  • Ne jamais exécuter une commande dont on ne comprend pas la provenance.
  • Utiliser un antivirus capable de détecter ce type de logiciels espions.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires