Des acteurs malveillants exploitent la récente fuite du code source de **Claude Code** en utilisant de faux dépôts **GitHub** pour distribuer le logiciel malveillant **Vidar**, voleur d'informations. **Claude Code** est un agent IA basé sur terminal d'**Anthropic**, conçu pour exécuter des tâches de codage directement dans le terminal et agir comme un agent autonome, capable d'interaction système directe, de gestion des appels API LLM, d'intégration MCP et de mémoire persistante. ### La fuite accidentelle Le 31 mars, **Anthropic** a accidentellement exposé le code source complet côté client du nouvel outil via une source map JavaScript de 59,8 Mo incluse par erreur dans le package npm publié. La fuite contenait 513 000 lignes de TypeScript non obfusqué réparties sur 1 906 fichiers, révélant la logique d'orchestration de l'agent, ses permissions, ses systèmes d'exécution, ses fonctionnalités cachées, les détails de construction et ses internes liés à la sécurité. Le code exposé a été rapidement téléchargé par un grand nombre d'utilisateurs et publié sur **GitHub**, où il a été forké des milliers de fois. ### Vidar Stealer déployé via des dépôts malveillants Selon un rapport de la société de sécurité cloud **Zscaler**, la fuite a créé une opportunité pour les acteurs malveillants de distribuer le voleur d'informations **Vidar** aux utilisateurs à la recherche de la fuite de **Claude Code**. Les chercheurs ont découvert qu'un dépôt **GitHub** malveillant publié par l'utilisateur « idbzoomh » proposait une fausse fuite et la présentait comme ayant des « fonctionnalités d'entreprise débloquées » et aucune restriction d'utilisation.  Pour générer un trafic maximal vers la fuite bidon, le dépôt est optimisé pour les moteurs de recherche et apparaît parmi les premiers résultats sur **Google Search** pour des requêtes telles que « Claude Code leaked ».  Selon les chercheurs, les utilisateurs curieux téléchargent une archive 7-Zip contenant un exécutable basé sur Rust nommé ClaudeCode_x64.exe. Une fois lancé, le dropper déploie **Vidar**, un voleur d'informations commercial, ainsi que l'outil de proxying de trafic réseau GhostSocks. **Zscaler** a découvert que l'archive malveillante est fréquemment mise à jour, de sorte que d'autres payloads pourraient être ajoutés dans les futures itérations. Les chercheurs ont également repéré un second dépôt **GitHub** avec un code identique, mais celui-ci affiche un bouton « Download ZIP » qui n'était pas fonctionnel au moment de l'analyse. **Zscaler** estime qu'il est exploité par le même acteur malveillant qui expérimente probablement différentes stratégies de distribution.  ### GitHub comme plateforme de distribution Malgré les défenses de la plateforme, **GitHub** a souvent été utilisé pour distribuer des payloads malveillants déguisés de diverses manières. Lors de campagnes fin 2025, des acteurs malveillants ont ciblé des chercheurs inexpérimentés ou des cybercriminels avec des dépôts prétendant héberger des preuves de concept (PoC) d'exploits pour des vulnérabilités récemment divulguées. Historiquement, les attaquants ont rapidement capitalisé sur les événements largement médiatisés dans l'espoir de compromissions opportunistes.