Brief IA : Claude Code sur Mac : un malware se cache derrière Google

Claude Code sur Mac : un malware se cache derrière Google

Brief IA
Tom Levy·4 min·7 vues

Un malware nommé MacSync est diffusé par des pirates via des annonces Google et des discussions sur Claude Code, ciblant les utilisateurs de Mac. Le chercheur en cybersécurité Berk Albayrak a révélé cette campagne de piratage le 10 mai 2026, soulignant la sophistication croissante des cyberattaques qui utilisent des conversations légitimes pour tromper les victimes.

En bref
1Des pirates utilisent Google Ads et Claude pour diffuser un malware ciblant les utilisateurs de Mac.
2Berk Albayrak a dévoilé une campagne exploitant Claude Code pour installer un infostealer sur macOS.
3Le malware MacSync utilise une technique polymorphe pour échapper aux antivirus et voler des données sensibles.
💡Pourquoi c'est importantCette attaque démontre la vulnérabilité des utilisateurs face à des campagnes de phishing sophistiquées utilisant des plateformes légitimes.
Le brief IA que lisent les pros

Tu veux les meilleurs outils IA avant les autres ?

On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Des pirates exploitent Google Ads et Claude pour diffuser un malware

Un stratagème ingénieux a été mis en place par des pirates informatiques qui utilisent les annonces Google et les discussions partagées sur Claude pour cibler les utilisateurs de Mac. Ces cybercriminels détournent des conversations légitimes du chatbot Claude pour propager une variante du malware MacSync, un logiciel malveillant particulièrement dangereux. Les utilisateurs de Mac sont en danger s'ils ont tenté de télécharger l'IA Claude via Google.

Le chercheur en cybersécurité Berk Albayrak a révélé le 10 mai 2026 une campagne de piratage sophistiquée qui combine Google Ads et la plateforme Claude.ai. Les victimes, pensant installer l'outil Claude Code depuis Google, exécutent une commande terminal qui infecte silencieusement leur Mac avec un malware de type infostealer, un voleur d'informations redoutable. Cette manipulation, qui semble inoffensive, cache en réalité un logiciel espion polymorphe difficile à détecter.

Détournement des publicités Google et des discussions Claude

Le piège commence directement sur Google, où une recherche pour télécharger l'application Claude Code sur macOS mène à une annonce sponsorisée renvoyant au domaine officiel "claude.ai". Plutôt que de créer un site factice, les pirates détournent une véritable "discussion partagée" pour y orchestrer un faux guide d'installation. Ce subterfuge exploite la crédibilité de l'outil Claude pour transformer une fonction rassurante en un piège redoutable.

Pour parfaire leur arnaque, les pirates usurpent l'identité du support technique d'Apple directement sur la plateforme d'Anthropic. La page affirme faussement que la méthode est sûre et qu'elle n'affectera jamais vos données personnelles ou votre système. Les utilisateurs sont incités à ouvrir leur terminal pour exécuter une commande simple, une manipulation de plus en plus courante chez les développeurs.

La commande "curl" affichée cache un secret technique. Elle utilise l'encodage Base64 pour masquer sa destination finale. Une fois lancée, elle contacte le domaine "customroofingcontractors[.]com" pour télécharger le script d'infection. L'utilisateur pense installer l'outil Claude Code, mais il vient en réalité d'ouvrir la porte à une variante du logiciel malveillant MacSync.

Un malware polymorphe insaisissable

Le malware MacSync, identifié par Berk Albayrak, est d'une discrétion absolue, ce qui le rend extrêmement dangereux. Il utilise une livraison dite polymorphe, qui lui permet de générer un code différent à chaque requête pour échapper aux antivirus classiques. En s'exécutant presque entièrement en mémoire vive, il ne laisse pratiquement aucune trace physique suspecte sur le disque dur.

Avant de frapper, le script effectue un profilage minutieux de votre machine. Il récolte l'adresse IP, le nom de l'ordinateur et la version du système pour s'assurer que la cible est intéressante. Ces données sont transmises aux serveurs des pirates, qui peuvent alors adapter la charge virale finale selon les spécificités de votre Mac.

Un mécanisme de protection étonnant a également été repéré dans le code source par les experts. Le malware vérifie si un clavier russe ou de la zone CIS (Russie, Arménie, Biélorussie, Ouzbékistan, Azerbaïdjan, etc.) est configuré sur le système. Si c'est le cas, il s'autodétruit silencieusement, sans rien voler. Cette précaution permet aux attaquants de rester sous le radar des autorités locales.

Menace sur les données sensibles

Une fois installé, MacSync commence le pillage de vos données les plus sensibles. Il s'attaque aux navigateurs pour extraire vos identifiants et surtout vos précieux cookies de session. Ces derniers permettent aux hackers de contourner la double authentification pour accéder directement à vos comptes bancaires ou vos réseaux sociaux personnels.

Le malware va plus loin en ciblant la fonction Trousseaux d'accès (Keychain Access), le coffre-fort des mots de passe de votre Mac. En détournant osascript, un outil de commande au système, il dérobe les clés de sécurité et certificats stockés au cœur de votre ordinateur. Vos secrets numériques se retrouvent entre les mains de cybercriminels, sans que vous n'ayez vu la moindre alerte s'afficher.

Pour se protéger, il est conseillé de ne jamais cliquer sur les annonces sponsorisées pour vos téléchargements. Naviguez directement vers le site officiel d'Anthropic, consultez leur documentation officielle ou des outils comme Claude Security. Rappelez-vous qu'aucun chat partagé ne devrait vous demander d'exécuter des lignes de commande. La vigilance reste votre meilleur rempart face à ces attaques.

En 2026, même l'autorité d'un nom de domaine officiel ne dispense plus d'une vigilance humaine de chaque instant face aux ruses de l'ingénierie sociale.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires