SEO Poisoning : Comment les pirates ciblent les développeurs via de fausses installations Gemini CLI et Claude Code

Aurélien Fontevive

Le nouveau cauchemar des développeurs : des milliers de victimes piégées par l’empoisonnement SEO

En mars 2026, les équipes de threat intelligence ont détecté une campagne d’une ampleur inquiétante. Des attaquants exploitaient habilement les mécanismes de référencement pour propager des malware sophistiqués auprès de développeurs ignorants du danger. En créant des domaines malveillants qui surclassent les sources légitimes dans les résultats de recherche, ces acteurs malveillants ont réussi à infiltrer des centaines, voire des milliers de systèmes avant que l’alerte ne soit déclenchée.

Le constat est alarmasnt : près de 30 domaines différents ont été identifiés, usurpant l’identité d’outils de développement aussi populaires que Node.js, Chocolatey ou KeePassXC. Cette campagne illustre parfaitement comment l’engouement croissant pour les outils d’intelligence artificielle dans les environnements professionnels constitue une opportunité en or pour les cybercriminels motivés par le profit. Les menaces de phishing basées sur l’IA représentent une évolution préoccupante de ces techniques d’ingénierie sociale.

Comprendre l’empoisonnement SEO : définition et mécanisme d’attaque

Qu’est-ce que le SEO poisoning ?

L’empoisonnement SEO, également appelé search engine poisoning, désigne une technique par laquelle des acteurs malveillants manipulent les algorithmes de référencement pour faire apparaître leurs sites frauduleux en tête des résultats de recherche. Contrairement aux campagnes de phishing traditionnelles qui reposent sur l’envoi massif d’e-mails, cette approche exploite le comportement naturel des utilisateurs qui recherchent activement une information ou un logiciel.

Les attaquants ciblent délibérément les requêtes populaires liées à des logiciels légitimes. En optimisant leurs domaines malveillants avec des mots-clés stratégiques et en accumulant des backlinks artificiels, ils parviennent à détrôner les sites officiels dans les résultats de Google ou Bing. Cette technique s’avère particulièrement efficace car elle s’appuie sur la confiance implicite accordée aux premiers résultats de recherche.

Le processus d’infection en trois étapes

Le fonctionnement de cette campagne repose sur un schéma désormais rodé :

  1. Recherche organique : Le développeur tape une requête du type « installer Gemini CLI » ou « téléchargement Claude Code » dans son moteur de recherche préféré.

  2. Redirection frauduleuse : Le domaine usurpant l’identité de l’outil figure parmi les premiers résultats. L’utilisateur clique, confiant d’obtenir les instructions officielles.

  3. Exécution du malware : La page frauduleuse affiche des instructions d’installation quasi-identiques aux originales, incitant l’utilisateur à exécuter une commande PowerShell qui déclenche silencieusement le malware.

Cette approche présente un avantage considérable pour les attaquants : elle ne nécessite aucune interaction par e-mail, aucun pièce jointe suspecte, et exploite la tendance naturelle des développeurs à rechercher des guides d’installation sur le web.

Gemini CLI et Claude Code : deux cibles de choix pour les attaquants

L’usurpation de Gemini CLI

L’une des premières variantes identifiées concernait l’outil Gemini CLI de Google. Les chercheurs d’EclecticIQ ont documenté l’utilisation du domaine geminicli[.]co[.]com, une technique classique de typosquatting exploitant la similarité visuelle avec le nom officiel.

Une fois le développeur redirigé vers ce domaine frauduleux, la page affichait des instructions d’installation parfaitement cohérentes avec la documentation officielle de Google. La différence subtile résidait dans la commande à exécuter : au lieu d’installer simplement l’outil, l’utilisateur était invité à copier-coller une instruction PowerShell qui, en arrière-plan, récupérait un script malveillant depuis gemini-setup[.]com.

Ce script opérait ensuite de manière invisible, téléchargeant et exécutant un infostealer entièrement en mémoire. Aucune trace tangible n’était laissée sur le disque, compliquant considérablement l’analyse forensique post-incident.

L’imitation de Claude Code par Anthropic

La campagne ne s’arrêtait pas à Google. Une variante parallèle ciblait Claude Code, l’outil de développement d’Anthropic, utilisant des domaines structurés sur le même modèle : claudecode[.]co[.]com et claude-setup[.]com. Les similarités dans les schémas d’usurpation suggèrent strongly qu’une même entité orchestrait ces deux opérations.

La technique demeurait identique : une page d’installation convaincante, une commande PowerShell apparemment anodine, et un malware qui s’exécutait en arrière-plan. Cette cohérence operationnelle renforce l’hypothèse d’un acteur unique utilisant une infrastructure centralisée pour maximiser son impact.

L’ingéniosité technique du malware : fileless, AMSI bypass et exfiltration silencieuse

Une exécution entièrement en mémoire

La sophistication du malware déployé mérite une attention particulière. Ce dernier présente plusieurs caractéristiques qui le rendent particulièrement difficile à détecter pour les solutions de sécurité traditionnelles :

  • Architecture fileless : L’intégralité du code malveillant s’exécute en mémoire RAM, sans jamais écrire de fichier suspect sur le disque. Cette approche contourne les scanners antivirus basés sur les signatures de fichiers.

  • Contournement de l’ETW : Le malware désactive Event Tracing for Windows (ETW), un mécanisme de télémétrie utilisé par de nombreuses solutions EDR pour collecter des informations sur les activités système.

  • Neutralisation de l’AMSI : L’Antimalware Scan Interface (AMSI) est également neutralisée, privant les antivirus de leur capacité à analyser dynamiquement les scripts exécutés.

Ces techniques de contournement expliquent pourquoi de nombreuses organisations n’ont détecté l’infection qu’après plusieurs semaines, lorsque les données volées ont commencé à apparaître sur les marchés criminels.

Communication avec l’infrastructure de commande

Une fois actif, le malware établit une connexion chiffrée avec des serveurs de commande et contrôle (C2) tels que events[.]msft23[.]com. Les données exfiltrées transitent sous forme chiffrée, compliquant l’analyse du trafic réseau par les équipes SOC.

« Cette campagne démontre l’évolution constante des tactiques d’infection. Les attaquants ne se contentent plus de distribuer des malware génériques : ils adaptent leurs charges utiles à des cibles spécifiques et investissent dans des infrastructures capables de rester furtives pendant des mois. »

  • Analyse EclecticIQ, mars 2026

La double exécution : legitimation de l’infection et maintien de la confiance

Le brillant subterfuge

L’un des aspects les plus machiavéliques de cette campagne réside dans sa double fonction d’exécution, une technique rappelant les arnaques par camouflage utilisées dans d’autres contexte d’ingénierie sociale. Alors que le malware s’active en arrière-plan, le script d’installation simultanement procede à l’installation légitime de l’outil AI convoité via npm.

Concrètement, le développeur qui exécute la commande frauduleuse obtains :

  • L’outil Gemini CLI ou Claude Code installé et fonctionnel sur son poste
  • Un infostealer opérant silencieusement en arrière-plan

Cette approche présente un avantage psychologique considérable pour les attaquants. Le développeur obtient exactement ce qu’il cherchait, ne remarque aucune anomalie, et poursuit正常使用 son outil. Les données sont harvested et transmises bien avant que quiconque ne suspecte une compromission.

Implications pour la chaîne d’approvisionnement

Cette technique soulève des préoccupations majeures pour la sécurité des environnements d’entreprise. Un développeur dont le poste est compromis peut, sans le savoir, introduire des vulnérabilités dans les projets sur lesquels il travaille. Les credentials volés могут donner accès aux dépôt GitHub, aux pipelines CI/CD, et aux environnements cloud de l’organisation.

Panorama des données ciblées : un butin considérable

Étendue du vol de données

L’infostealer déployé dans cette campagne ne se contente pas de capturer des credentials de navigateur. Sa portée s’étend à un spectre remarkably large de ressources potentiellement valorisables :

Catégorie de donnéesExemples spécifiques
Identifiants webCookies de session, credentials保存在浏览器中
Jetons d’authentificationOAuth tokens, clés API
Outils de collaborationSlack, Microsoft Teams, Discord, Zoom
Connexions sécuriséesConfigurations VPN, clés SSH
Ressources cloudAccès aux répertoires de stockage cloud
Actifs numériquesPortefeuilles de cryptomonnaies
Fichiers locauxDocuments, code source, certificats

Cette diversité de ciblage révèle la stratégie des attaquants : maximiser le volume de données exfiltrées pour multiplier les sources de monétisation sur les marchés criminels.

Capacité d’exécution de code à distance

Au-delà du vol de données, le malware inclut une fonctionnalité particulièrement préoccupante : la possibilité d’exécuter du code à distance sur les systèmes compromis. Cette capability transforme l’attaque d’un vol automatisé en une intrusion interactive.

Un opérateur humain peut désormais :

  • Naviguer dans le système de fichiers
  • Déployer des charges utiles supplémentaires
  • Déplacer latéralement vers d’autres systèmes
  • Déteriorate des données ou déployer des ransomware

Cette évolution marque un passage d’une approche opportuniste à une stratégie plus sophistiquée, potentiellement aligned avec des opérations de cybercriminalité organisée ou d’espionnage. Ces réseaux criminels à grande échelle illustrent la structuration de la cybercriminalité moderne.

Infrastructure de la campagne : plus de 30 domaines identifiés

Bulletproof hosting et diversification

L’analyse de l’infrastructure a révélé que la campagne reposait sur des services d’hébergement « bulletproof », ces fournisseurs qui ferment les yeux sur les activités illicites hébergées sur leurs serveurs. Plus de trente domaines différents ont été identifiés, usurpant l’identité d’outils de développement populaires.

Liste non exhaustive des outils usurpés :

  • Node.js : domaine nodejs-setup.co[.]com
  • Chocolatey : variantes chocolatey-setup.co.com, chocolatey-download.co.com
  • KeePassXC : keepassxc.us.org, keepassxc.us.com
  • Gemini CLI : geminicli[.]co[.]com
  • Claude Code : claudecode[.]co[.]com, claudcode-install.co.com

Chaînage de domaines frauduleux

Dans au moins une variante, les attaquants ont mis en place un système de redirection en cascade :

Page fausse Node.js → Domaine A → Domaine B → Charge utile malveillante

Cette approche incremental augmente la crédibilité du processus d’installation tout en compliquant le suivi des flux de données par les chercheurs en sécurité.

Indicateurs de compromission et mesures de détection

Signaux d’alerte pour les équipes SOC

Les organisations peuvent renforcer leur détection en surveillant les comportements suivants :

Indicateurs comportementaux :

  • Utilisation de Invoke-RestMethod chained avec Invoke-Expression dans PowerShell
  • Exécution de PowerShell avec des arguments obfuscated
  • Connexions sortantes inhabituelles juste après l’installation d’un outil
  • Trafic vers des domaines imitant des outils de développement légitimes

Indicateurs réseau :

  • Communication avec les domaines C2 identifiés (events.ms709.com, metrics.msft17.com)
  • Requêtes DNS vers des domaines typosquattés (.co[.]com, .us.org)
  • Volumes de données sortantes anormaux depuis les postes de développement

Protocole de réponse à incident

En cas de détection d’un indicateur de compromission, les équipes de sécurité doivent :

  1. Isoleer immédiatement le poste concerné du réseau
  2. Collecter les artefacfs mémoire avant tout redémarrage (le malware étant fileless)
  3. Analyser les journaux PowerShell pour identifier la chaîne d’exécution
  4. Vérifier les credentials potentiellement exposés sur les services tiers
  5. Effectuer un reset des jetons OAuth et des sessions actives

Recommandations de sécurité pour les développeurs

Vérification des sources d’installation

Face à cette menace, la vigilance individuelle reste le rempart le plus efficace. Quelques règles essentielles :

  • Consulter uniquement les sites officiels : google.com/dev, anthropic.com, nodejs.org
  • Vérifier l’URL avant toute exécution : orthographe, domaine de premier niveau (.com vs .co.com)
  • Préférer les gestionnaires de paquets officiels : npm install -g @anthropic-ai/claude-code
  • Éviter de copier-coller des commandes depuis les résultats de recherche

Renforcement des contrôles organisationnels

Les entreprises peuvent déployer des contre-mesures techniques :

  1. Application des politiques de restriction logicielle (AppLocker, Windows Defender Application Control)
  2. Monitoring desscript PowerShell avec alertes sur les patterns suspects
  3. Segmentation des postes de développement des ressources critiques
  4. Déploiement d’EDR capables de détecter les techniques fileless

Conclusion : la confiance numérique en peril

Cette campagne d’empoisonnement SEO illustre une réalité inquiétante : la frontière entre ressources légitimes et malveillantes s’efface progressivement dans l’écosystème numérique. Les développeurs, souvent perçus comme des utilisateurs avancés capables de se protéger seuls, constituent en réalité des cibles privilégiées en raison de leurs privileges d’accès élevés et de leur rôle central dans la chaîne de développement.

L’évolution constante des techniques d’attaque - du typosquatting à l’exécution fileless en mémoire, en passant par le contournement des mécanismes de sécurité Windows - démontre la capacité d’adaptation des acteurs criminels. Même si des opérations comme le démantèlement de RedLine et LummaC2 ont perturbé l’écosystème des infostealers, la demande pour les données volées reste forte, alimentant un marché florissant.

Pour les organisations, l’enjeu dépasse la seule protection technique. Il s’agit de sensibilisercontinuellement les équipes de développement aux risques émergents, de maintenir à jour les outils de détection, et de foster une culture de sécurité où la vérification systématique des sources devient un automatisme.

Dans un contexte où l’IA s’intègre de plus en plus profondément dans les workflows de développement, la question n’est plus de savoir si votre organisation sera ciblée par une telle campagne, mais plutôt si vous êtes готовы à la détecter suffisamment tôt pour limiter les dégâts.