Des cybercriminels sont parvenus à imiter Claude Code et d'autres outils IA, dans le but d'infecter les développeurs avec des infostealers, des voleurs d'informations. Les experts tirrent la sonnette d'alarme.
Les chercheurs en cybersécurité de Kaspersky ont mis au jour, ces derniers jours, une campagne malveillante qui vise les développeurs qui cherchent à installer Claude Code, l'agent IA d'Anthropic. Le stratagème est bien ficelé, avec une fausse publicité qui remonte en tête des moteurs de recherche, une page clonée qui trompe parmi les plus vigilants, et des infostealers qui s'installent en silence. Des données personnelles aux secrets d'entreprise, en passant par les accès crypto, tout y passe.
Une fausse page Claude Code si convaincante qu'elle trompe même les plus avisés
Le piège début avec un geste du quotidien, qui est de taper la requête « Claude Code download » dans un moteur de recherche. Le problème, c'est que parmi les premiers résultats, des publicités frauduleuses se glissent de façon discrète. Elles sont quasi impossibles à discerner des annonces légitimes. L'une d'elles renvoie vers un site hébergé sur Squarespace qui reproduit à la perfection la page officielle d'Anthropic, l'entreprise derrière Claude. La mise en page est identique, les instructions copiées mot pour mot. En gros, rien ne trahit l'imposture.
L'utilisateur suit les instructions à la lettre, exécute les commandes proposées et installe sans le savoir un logiciel espion à la place de l'outil attendu. Il n'y a aucun message d'erreur ni signal d'alarme, tout se déroule exactement comme si l'installation était légitime. C'est là toute la perversité du procédé, qui exploite la confiance naturelle qu'on accorde à une page qui semble officielle, et la rapidité avec laquelle les développeurs exécutent ce genre de commandes sans forcément les questionner.
Claude Code n'est pas la seule victime de ce détournement. Kaspersky a identifié des campagnes identiques visant OpenClaw et Doubao, deux autres outils d'IA très utilisés par les développeurs. Les attaquants ont créé des noms de domaine spécialement conçus pour ressembler aux sites officiels de ces plateformes, y ont glissé le malware Amatera, et ont attendu que des développeurs peu méfiants viennent télécharger ce qui ressemblait, en tout point, à un fichier parfaitement anodin.
Windows ou Mac, personne n'est épargné par ces infostealers
Le malware installé n'est pas le même selon que la victime utilise Windows ou Mac. Sur Windows, c'est Amatera qui s'exécute. Celui-ci fouille méthodiquement l'ordinateur, les dossiers personnels, l'historique des navigateurs, les portefeuilles de cryptomonnaies, avant d'envoyer le butin vers un serveur contrôlé par les attaquants. Ce logiciel malveillant fonctionne comme un service loué entre cybercriminels : ses créateurs le mettent à disposition de n'importe quel hacker prêt à payer, sur le modèle du malware-as-a-service, comme on a pu le voir sur des campagnes ClickFix récemment.
Les utilisateurs de Mac ne sont pas épargnés. Ici, c'est AMOS qui s'en charge. Il s'agit d'un logiciel espion que Kaspersky a déjà croisé dans plusieurs attaques ciblant les appareils Apple. Au-delà des données personnelles, c'est surtout le risque professionnel qui inquiète les experts. Vladimir Gursky, spécialiste en cybersécurité chez Kaspersky, dit que ces campagnes sont « particulièrement dangereuses pour les entreprises dont les développeurs s'appuient sur des outils de codage assistés par l'IA », car une infection peut suffire à exposer le code source d'un projet, des accès confidentiels ou des données internes, sans que personne ne s'en aperçoive.
Ce comportement des pirates n'est en tout cas pas nouveau, puisqu'en décembre 2025, Kaspersky avait déjà démantelé une arnaque similaire, où des publicités Google usurpaient l'image de ChatGPT pour pousser les utilisateurs à télécharger un faux navigateur, Atlas Browser. Alors pour ne pas tomber dans le piège, il faut toujours vérifier que le lien de téléchargement pointe bien vers le site officiel du projet, ne jamais exécuter une commande dont on ne comprend pas la provenance, et utiliser un antivirus capable de détecter ce type de logiciels espions.
