IRCNF
Security

Un paquet npm malveillant a été surpris en train de dérober des fichiers des utilisateurs de Claude AI — et cela s'inscrit dans une tendance croissante

Partager:
Un paquet npm malveillant a été surpris en train de dérober des fichiers des utilisateurs de Claude AI — et cela s'inscrit dans une tendance croissante

Un paquet malveillant discrètement téléchargé sur le registre npm a été démasqué en train de dérober des fichiers aux développeurs utilisant Claude AI — exfiltrant tout le contenu du répertoire que Claude utilise pour gérer les téléchargements et les fichiers de travail, et les envoyant vers un dépôt GitHub contrôlé par l'attaquant. Nommé "mouse5212-super-formatter", ce paquet a été téléchargé environ 676 fois avant d'être signalé par les chercheurs de The Hacker News.

L'attaque est relativement simple dans sa conception mais efficace dans son ciblage. Lors de l'installation, le paquet s'authentifie auprès de GitHub — en utilisant un token présent dans l'environnement de la victime si celui-ci existe, ou en se rabattant sur un identifiant codé en dur — puis télécharge récursivement tous les fichiers du dossier /mnt/user-data, le répertoire que Claude utilise pour gérer les téléchargements et les sorties en arrière-plan. Le résultat est une exfiltration silencieuse et automatisée que la plupart des développeurs ne remarqueront jamais avant que les dégâts ne soient faits.

Une nouvelle surface d'attaque : les outils de codage IA

Ce qui rend cet incident notable n'est pas sa sophistication technique, c'est la cible. Les assistants de codage IA comme Claude Code sont devenus une infrastructure indispensable pour une part croissante des développeurs professionnels. Cette adoption massive en a fait une surface d'attaque attrayante.

Le compte GitHub utilisé dans cette campagne a été créé le 26 mai 2026 — quelques heures seulement avant que le paquet malveillant ne soit téléchargé pour la première fois sur npm. Cette mise en place rapide suggère une opération ciblée et opportuniste plutôt qu'une campagne patiente et de longue haleine. Les chercheurs ont également observé un échec basique de sécurité opérationnelle de la part de l'attaquant : le token GitHub codé en dur était lui-même exposé à l'intérieur du paquet, révélant potentiellement la propre infrastructure de l'acteur malveillant.

La tendance plus large du ciblage des outils IA

Cet incident n'existe pas isolément. Depuis début 2026, les chercheurs en sécurité ont documenté une augmentation significative des attaques sur la chaîne d'approvisionnement spécifiquement dirigées contre les outils de développement IA. SafeDep a signalé une campagne distincte dans laquelle cinq paquets npm de typosquatting — publiés à quelques heures d'intervalle par des comptes nommés "superbase" et "micresoft" — contenaient des binaires cachés de 4,5 Mo dans un répertoire .claude/ qui s'exécutaient à la fois lors de l'installation et à chaque démarrage de session Claude Code ultérieur.

D'autres campagnes ont utilisé l'empoisonnement SEO pour pousser de faux installateurs de Claude Code, rétro-ingéniéré les composants internes de Claude Code pour router le trafic via des proxys contrôlés par l'attaquant, et même créé des appâts imitant Gemini et Claude Code pour livrer des infostealers. La tendance est constante : les attaquants vont là où sont les développeurs, et en ce moment, les outils de codage IA sont là où sont les développeurs.

Pourquoi ce vecteur de menace est particulièrement dangereux

Les attaques traditionnelles sur la chaîne d'approvisionnement reposent sur des développeurs qui installent des paquets sans les examiner de près. Les workflows de codage IA introduisent une complication supplémentaire : l'agent IA lui-même peut être manipulé pour installer des paquets malveillants via des prompts soigneusement conçus. Une technique que les chercheurs ont appelée "PromptMink" montre comment un acteur malveillant pourrait ordonner à un agent basé sur Claude d'installer un paquet trojanisé, transformant ainsi la confiance et l'autonomie de l'IA en une surface d'attaque.

Les fichiers stockés dans les répertoires de travail de Claude peuvent également être particulièrement sensibles. Les développeurs passent souvent des fichiers de contexte, des identifiants API, des extraits de configuration et du code propriétaire à Claude dans le cadre de leur workflow. Un attaquant capable de vider ce répertoire obtient non seulement les fichiers eux-mêmes mais aussi une fenêtre sur l'environnement de travail complet du développeur — structure du projet, secrets, intégrations, etc.

Ce que les développeurs devraient faire

Les mesures immédiates sont simples mais méritent d'être énoncées clairement. Auditez les paquets npm installés pour repérer tout élément inconnu, en particulier les paquets installés récemment qui prétendent être des utilitaires, des formateurs ou des synchroniseurs. Vérifiez votre environnement pour détecter des tokens GitHub inattendus ou une activité réseau inhabituelle lors de l'installation de paquets. Si vous utilisez Claude Code dans un projet, traitez /mnt/user-data et les répertoires équivalents comme sensibles et évitez d'y laisser des identifiants ou des secrets.

Plus largement, la leçon de cette campagne est que les mêmes bonnes pratiques d'hygiène qui s'appliquent à toute dépendance logicielle s'appliquent tout autant aux paquets soutenant votre chaîne d'outils IA. Le fait qu'un paquet soit installé pour soutenir un workflow IA ne le rend pas plus fiable — il peut le rendre plus dangereux, car ces workflows ont tendance à avoir accès à un contexte plus sensible qu'une dépendance typique.

Les outils de sécurité qui analysent les paquets npm avant installation et signalent les paquets nouvellement enregistrés avec un faible nombre de téléchargements peuvent détecter nombre de ces attaques avant qu'elles ne s'exécutent. Le paquet mouse5212-super-formatter était, rétrospectivement, facile à signaler : un compte nouvellement enregistré, un nom suspect générique, un script postinstall effectuant des appels réseau sortants. L'infrastructure pour détecter ces schémas existe. Le défi est de s'assurer qu'elle est effectivement appliquée à la couche des outils IA, et pas seulement aux dépendances de production.

À mesure que les outils de codage IA s'intègrent plus profondément dans les workflows de développement professionnels, les incitations à les cibler ne feront qu'augmenter. Cet incident rappelle que la confiance que les développeurs placent dans leurs chaînes d'outils IA doit être assortie de contrôles de sécurité proportionnés — et non pas supposée.

Source : The Hacker News, SafeDep, Trend Micro Research

supply-chainmalwaredeveloper-securitynpmclaude-aiai-security
Partager: