Campagne Vidar Exploite la Fuite du Code Source de Claude
Des cybercriminels ont lancé une campagne de logiciels malveillants sophistiquée le 2 avril 2026, exploitant la récente fuite du code source de Claude d'Anthropic pour distribuer le logiciel malveillant Vidar voleur d'informations. Les attaquants ont créé plusieurs faux dépôts GitHub prétendant contenir le cadre de développement Claude AI divulgué, ciblant les développeurs et les chercheurs en sécurité désireux d'examiner le code propriétaire.
La campagne malveillante a commencé quelques heures après que la fuite du code Claude soit devenue publique. Les acteurs de la menace ont rapidement enregistré des comptes GitHub avec des noms ressemblant étroitement à ceux des développeurs légitimes d'Anthropic et ont créé des dépôts avec des titres convaincants comme "claude-code-official-leak" et "anthropic-claude-source-mirror". Ces dépôts contenaient ce qui semblait être des fichiers de code source légitimes accompagnés de charges utiles malveillantes cachées déguisées en scripts de construction et fichiers de dépendance.
Les chercheurs en sécurité de The Hacker News ont d'abord identifié la campagne après avoir détecté des modèles de téléchargement suspects à partir de dépôts GitHub nouvellement créés. Les attaquants ont utilisé des tactiques d'ingénierie sociale en publiant des liens vers leurs dépôts malveillants dans des forums de développeurs, des canaux Discord et des plateformes de médias sociaux où les discussions sur la fuite du code Claude étaient en vogue.
La variante de malware Vidar utilisée dans cette campagne inclut des capacités améliorées spécifiquement conçues pour cibler les environnements de développement. Contrairement aux déploiements Vidar standard, cette version recherche activement les clés API, les certificats de développement et les dépôts de code source stockés sur les systèmes infectés. Le malware tente également de voler des identifiants à partir d'outils de développement populaires, y compris Visual Studio Code, les IDE JetBrains et les gestionnaires d'identifiants Git.
L'analyse des dépôts malveillants révèle des techniques d'obfuscation sophistiquées. Les attaquants ont intégré la charge utile Vidar dans des scripts d'installation Python apparemment légitimes et des fichiers de package Node.js. Lorsque les développeurs tentent d'exécuter ou d'analyser le code "divulgué", ces scripts s'exécutent silencieusement en arrière-plan, établissant une persistance sur le système cible et commençant le processus d'exfiltration de données.
Communauté de Développeurs et Équipes de Développement d'Entreprise en Danger
Les principales cibles de cette campagne sont les développeurs de logiciels, les chercheurs en IA et les professionnels de la sécurité intéressés par l'examen du code Claude divulgué. Les organisations avec des équipes de développement recherchant activement des implémentations de modèles de langage de grande taille sont particulièrement à risque, car les employés peuvent tenter de télécharger et d'analyser le code source supposément divulgué pour des raisons de renseignement concurrentiel ou de recherche en sécurité.
Les environnements d'entreprise exécutant des postes de travail Windows 10 et Windows 11 sont les plus vulnérables à la charge utile Vidar. Le malware cible spécifiquement les postes de travail de développement avec des privilèges élevés, ce qui le rend particulièrement dangereux pour les organisations où les développeurs ont un accès administratif à leurs systèmes. Les entreprises dans les secteurs de l'intelligence artificielle, de l'apprentissage automatique et du développement de logiciels représentent des cibles de grande valeur en raison de la propriété intellectuelle sensible et des identifiants API généralement stockés sur les machines des développeurs.
La campagne a déjà compromis environ 2 400 systèmes selon la télémétrie des serveurs de commande et de contrôle observée par les chercheurs en sécurité. Les organisations touchées couvrent plusieurs industries, avec des entreprises technologiques, des sociétés de services financiers et des sous-traitants gouvernementaux signalant une activité suspecte cohérente avec les infections Vidar. L'accent mis par le malware sur les environnements de développement signifie que les systèmes compromis contiennent souvent un accès à des dépôts de production, des plateformes de développement cloud et des données clients sensibles.
Les petites et moyennes équipes de développement font face à un risque accru en raison de contrôles de sécurité limités et de capacités de surveillance. De nombreuses petites organisations manquent des outils de détection et de réponse aux points de terminaison nécessaires pour identifier l'installation furtive de Vidar et ses activités de collecte de données. La capacité du malware à voler des identifiants stockés et des clés API peut conduire à des compromissions secondaires de l'infrastructure cloud et des systèmes clients.
Chaîne d'Infection Vidar et Actions de Réponse Immédiates
Le malware Vidar se déploie via un processus d'infection en plusieurs étapes qui commence lorsque les utilisateurs téléchargent et exécutent des fichiers à partir des dépôts GitHub malveillants. La charge utile initiale se fait passer pour un installateur de dépendances Python ou un gestionnaire de dépendances Node.js, exécutant des commandes PowerShell qui téléchargent des composants supplémentaires à partir de sites WordPress compromis et de services de stockage cloud légitimes.
Les organisations devraient immédiatement mettre en œuvre un blocage au niveau du réseau pour les domaines de commande et de contrôle Vidar connus identifiés dans la campagne. Les équipes de sécurité doivent surveiller les connexions sortantes vers des domaines suspects et mettre en œuvre une liste blanche d'applications pour empêcher l'exécution non autorisée d'exécutables sur les postes de travail de développement. SecurityWeek rapporte que le malware communique avec les serveurs C2 en utilisant un trafic HTTPS chiffré, rendant la détection plus difficile sans capacités d'inspection SSL appropriées.
Les étapes de mitigation immédiates incluent la numérisation de tous les postes de travail de développement pour des indicateurs de compromission, en se concentrant particulièrement sur les systèmes où les utilisateurs ont pu télécharger des fichiers liés à la fuite du code Claude. Les administrateurs informatiques devraient vérifier la présence de journaux d'exécution PowerShell suspects, de modèles de trafic réseau inhabituels et de modifications non autorisées des magasins d'identifiants de navigateur. Le malware crée une persistance à travers des tâches planifiées et des modifications du registre qui peuvent être détectées à l'aide d'outils de surveillance des points de terminaison standard.
Pour les systèmes confirmés comme infectés, les organisations doivent supposer que tous les identifiants stockés, les clés API et les certificats de développement ont été compromis. Cela nécessite une rotation immédiate de tous les jetons d'authentification liés au développement, la révocation des certificats potentiellement compromis et un audit complet des dépôts de code pour un accès non autorisé. Les équipes de sécurité devraient également mettre en œuvre une surveillance supplémentaire pour toutes les ressources cloud accessibles via des identifiants potentiellement volés, car Vidar cible spécifiquement les jetons d'accès aux plateformes cloud et les clés de déploiement.
