Une campagne malveillante repérée par Ontinue cible les développeurs recherchant l’outil « Claude Code » d’Anthropic. Les attaquants utilisent de faux sites sponsorisés pour diffuser un malware capable de voler des identifiants et des données de navigation. Un malheureux mais parfait scénario qui illustre la montée rapide des risques autour des nouveaux assistants IA dédiés au développement.
Les outils de développement dopés à l’intelligence artificielle attirent désormais aussi les cybercriminels. Des chercheurs du Cyber Defence Centre d’Ontinue ont identifié une campagne reposant sur de faux installateurs de « Claude Code », l’assistant de développement en ligne de commande proposé par Anthropic. L’attaque débute par le biais de liens sponsorisés apparaissant dans les moteurs de recherche lorsqu’un utilisateur cherche à installer l’outil.
Les victimes sont redirigées vers des sites imitant l’interface officielle de Claude Code. Une fausse commande d’installation y est affichée afin d’inciter les développeurs à copier puis exécuter le script directement dans leur terminal. Le malware déployé cherche ensuite à récupérer des identifiants de navigateur, des cookies de session et différentes données locales.
Les assistants IA deviennent une nouvelle surface d’attaque
L’affaire nous éclaire surtout sur la rapidité avec laquelle l’écosystème des assistants IA attire déjà des campagnes malveillantes dédiées. Cursor, Copilot, Claude Code ou d’autres outils similaires commencent à s’intégrer dans les habitudes quotidiennes des développeurs. Cette confiance crée un terrain favorable pour les attaques reposant sur l’imitation de sites officiels ou l’injection de commandes frauduleuses.
Le mécanisme utilisé ici reste relativement simple, mais il exploite un comportement devenu très courant dans les communautés techniques. Beaucoup de développeurs copient directement des commandes proposées dans une documentation, un dépôt GitHub ou un terminal web sans toujours vérifier précisément leur provenance.
Une évolution des attaques visant les développeurs
Les développeurs constituent depuis longtemps une cible stratégique pour les cybercriminels, notamment en passant par des attaques sur la chaîne logicielle, les dépôts de paquets compromis ou les extensions malveillantes. L’essor des assistants IA ouvre désormais une nouvelle porte d’entrée.
Les attaquants ne ciblent plus seulement les environnements de production ou les infrastructures d’entreprise. Ils cherchent aussi à exploiter les nouveaux réflexes liés à l’IA générative et aux outils de développement automatisés, dans un contexte où les usages évoluent souvent plus vite que les pratiques de sécurité associées.
