Ép. Spécial - RadioCSIRT Édition Française - Claude Code Leak - 4 avril 2026
Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.
En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.
Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.
La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.
Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Le 31 mars 2026, Anthropic expose accidentellement le code source complet de Claude Code via un fichier source map de 59,8 Mo inclus par erreur dans le package npm @anthropic-ai/claude-code. Plus de 513 000 lignes de TypeScript non obfusqué sont rendues publiques, révélant l'architecture interne de l'agent, ses mécanismes d'exécution et plus de vingt feature flags non publiés.
En moins de 72 heures, des acteurs malveillants créent des dépôts GitHub frauduleux positionnés en tête des résultats Google via SEO poisoning. Le compte idbzoomh distribue une archive piégée déployant silencieusement un dropper Rust : ClaudeCode_x64.exe.
Double payload : Vidar 18.7, Information Stealer ciblant credentials, tokens d'API, clés cloud et secrets CI/CD — et GhostSocks, proxy SOCKS5 Backconnect transformant le poste infecté en infrastructure réseau pour les attaquants.
La campagne coïncide avec une attaque supply chain distincte sur npm, amplifiant le risque pour les environnements de développement actifs. Zscaler ThreatLabz documente l'intégralité de la chaîne.
Sources : https://cybersecuritynews.com/claude-code-leak-exploited-by-hackers-to-deliver-vidar-and-ghostsocks/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
- RadioCSIRT
- BreakingNews
- ClaudeCode
- Anthropic
- Malware anlysis
- Infostealer
- SupplyChain
- CSIRT
- CERT
- SEOPoisonning
- Developersecurity
- ThreatIntelligence
- CTI
- SOC
- Rust
- Dropper
- Cybersecurité
- GitHub
- CloudSecurity
- APIKey
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.