SEO Poisoning : comment les pirates ciblent les développeurs avec de faux installateurs Gemini CLI et Claude Code
Hippolyte Valdegré
En mars 2026, les chercheurs d’EclecticIQ ont identifié une campagne d’attaque sophistiquée exploitant le positionnement SEO pour piéger les développeurs français. L’objectif ? Distribuer des infostealers polymorphes en se faisant passer pour des outils IA légitime. Cette menace illustre parfaitement comment l’essor des outils d’intelligence artificielle devient un vecteur d’accès initial pour les attaquants.
L’essor du SEO poisoning ciblant les outils de développement IA
L’écosystème des développeurs français connaît une adoption massive des outils d’intelligence artificielle. Gemini CLI, l’interface en ligne de commande de Google, et Claude Code, l’outil d’Anthropic pour l’interaction avec Claude, sont désormais parmi les termes de recherche les plus fréquentés par les équipes de développement. Cette popularité crée une opportunitéedorée pour les acteurs malveillants, qui exploitent les mécanismes de référencement pour remplacer les sources légitimes par des sites truqués.
Le principe du SEO poisoning repose sur la manipulation des algorithmes de moteurs de recherche pour推升 les domaines malveillants dans les résultats. Dans cette campagne observée dès le mois de mars 2026, les attaquants créent des noms de domaine frauduleux qui usurpent l’identité visuelle et le contenu des pages officielles. Le domain typosquatté geminicli[.]co[.]com reproduit fidèlement l’interface d’installation de Gemini CLI, induisant les développeurs en erreur quant à la légitimité de la source.
Cette technique s’inscrit dans une tendance plus large documentée par les CERT européens. Selon le rapport 2025 de l’ANSSI sur les menaces cyber, les attaques par usurpation d’identité logicielle ont augmenté de 340 % chez les cibles du secteur technologique. Les développeurs représentent une population particulièrement exposée en raison de leurs privilèges élevés et de leur accès aux systèmes critiques d’entreprise.
Les mécanismes techniques de l’infection
Une fois le développeur redirigé vers le site frauduleux, le piège se referme. La page indique d’exécuter une commande PowerShell censée installer l’outil IA. Cette commande, apparemment anodine, déclenche en réalité le téléchargement silencieux d’un script malveillant hébergé sur un domaine contrôlé par les attaquants, tel que gemini-setup[.]com. Le payload exécute un infostealer entièrement en mémoire,不留 aucune tracepersistante sur le disque. Cette technique d’exécution sans fichier complique considérablement la détection par les solutions antivirales traditionnelles.
La communication avec l’infrastructure de commande et contrôle s’établit vers des serveurs comme events[.]msft23[.]com, où les données dérobées transitent sous forme chiffrée. L’analyse forensique révèle que le malware désactive délibérément les mécanismes de sécurité Windows, notamment Event Tracing for Windows (ETW) et l’Antimalware Scan Interface (AMSI), aveuglant ainsi les défenses endpoint. Cette approche défensive souligne le niveau de sophistication des auteurs, qui ciblent spécifiquement les environnements d’entreprise. Les infrastructures serveur restent néanmoins des cibles privilégiées, comme l’illustre la vulnérabilité cPanel CVE-2026-41940 exploitée par le ransomware Sorry.
Une campagne coordonnée touchant plusieurs plateformes
L’investigation menée par EclecticIQ révèle que cette campagne ne se limite pas à Gemini CLI. Une opération parallèle cible Anthropic Claude Code avec une infrastructure et des techniques quasi identiques. Les domaines utilisés, claudecode[.]co[.]com et claude-setup[.]com, présentent des similarités structurelles avec ceux employés pour l’usurpation de Gemini CLI, suggérant strongly qu’une même entité orchestre l’ensemble de la campagne.
L’analyse des indicateurs de compromission (IOCs) dévoile plus de trente domaines liés à cette opération. La liste include des usurpations de Node.js, Chocolatey, KeePassXC et d’autres outils populaires auprès des développeurs. Cette diversification témoigne d’une stratégie de massification, les attaquants cherchant à maximiser leur surface d’attaque en ciblant l’ensemble de l’écosystème des outils de développement.
Dans une variation notable, une page d’installation Node.js frauduleuse enchaine plusieurs domaines falsifiés pour livrer le même infostealer. Cette approche renforce la crédibilité du site, car le développeur observe une séquence d’étapes cohérente qui mime fidèlement le processus d’installation légitime.
La double approche : infection et illusion
Ce qui rend cette campagne particulièrement pernicieuse réside dans son exécution duale. Pendant que le script malveillant s’exécute en arrière-plan, l’installateur légitime de Gemini CLI est simultanément déployé via npm. Le développeur constate donc une installation apparemment réussie et commence à utiliser l’outil, ignorant que son système vient d’être compromis. Cette superposition d’opérations légitimes et malveillantes constitue une tactique de camouflage redoutablement efficace.
« Les attaquants exploitent la confiance des développeurs envers les outils qu’ils installent quotidiennement. En reproduisant fidèlement les procédures d’installation officielles, ils éliminent tout soupçon chez la victime, qui ne remarque la compromission que bien plus tard, voire jamais. » - Rapport EclecticIQ, avril 2026.
De plus, le malware inclut une fonctionnalité d’exécution de code à distance. Cette capacité permet aux attaquants de passer d’un vol automatisé de données à des opérations interactives, type « hands-on-keyboard », augmentant considérablement le risque d’énumération réseau et de mouvement latéral vers des systèmes critiques.
Les données ciblées par l’infostealer
L’payload déployé dans cette campagne possède un périmètre d’exfiltration extrêêment large. La liste des informations collectées comprend les identifiants de navigateur, les cookies de session, les jetons OAuth, les configurations VPN, les clés SSH, ainsi que les données des outils de collaboration comme Slack, Microsoft Teams, Discord et Zoom. Cette collecte ciblée reflète la stratégie des attaquants : obtenir un accès persistent à l’environnement professionnel de leurs victimes.
Le malware explore également les répertoires de stockage cloud, les portefeuille cryptocurrency, et les fichiers locaux. Cette approche exhaustive permet d’accumuler un volume considérable de données sensibles, Monétisables sur les marchés underground ou utilisées pour des opérations d’espionnage économique.
Les clés SSH représentent une cible de choix pour les attaquants. Compromettre une clé SSH d’un développeur, c’est potentiellement accéder à l’ensemble des dépôts de code, environnements de production et infrastructures cloud de l’organisation. L’ANSSI note dans son panorama de la menace 2025 que le vol de credentials développeurs constitue désormais le vecteur principal des compromissions de chaînes d’approvisionnement logicielles.
Contexte sectoriel et implications pour les entreprises françaises
Cette campagne s’inscrit dans un écosystème de criminalité organisé particulièrement actif. Malgré les actions répressives récentes contre les opérations d’infostealer majeures telles que RedLine et LummaC2, le marché de la revente de credentials reste florissant. Les coûts opérationnels faibles et la demande soutenue pour les données volées continuent d’alimenter ces attaques, comme le documente le rapport 2025 de la plateforme INTERPOL sur la cybercriminalité financière.
Pour les entreprises françaises, cette menace présente des implications spécifiques. L’intégration d’outils IA dans les workflows de développement s’accélère, créant une surface d’exposition grandissante. Les développeurs travaillent souvent avec des privilèges élevés sur des postes connectés aux ressources critiques de l’entreprise, ce qui en fait des cibles à haute valeur. Une seule compromission peut théoriquement ouvrir les portes de l’ensemble du système d’information.
La directive NIS2 et le réglement DORA, tous deux entrés en vigueur récemment, imposent aux organisations européennes des obligations renforcées en matière de sécurité de la chaîne d’approvisionnement logicielle. Cette campagne illustre concrètement les risques ciblés par ces réglementations et la nécessité d’implémenter des contrôles adaptés.
Stratégies de détection et de mitigation
Face à cette menace, les équipes de sécurité disposent de plusieurs leviers d’action. La surveillance des comportements PowerShell constitue la première ligne de défense. Les commandes utilisant Invoke-RestMethod et Invoke-Expression enchaînées meritent une attention particuliere, car elles correspondent au pattern d’exécution du malware documenté dans cette campagne. L’apparition inhabituelle de connexions sortantes shortly after l’exécution de scripts doit déclencher des enquêtes approfondies.
Les indicateurs de compromission partagés par EclecticIQ permettent l’enrichissement des règles de détection dans les SIEM et les solutions EDR. L’intégration de ces IOCs dans les platforms de threat intelligence comme MISP, VirusTotal ou les consoles de sécurité internes renforce la capacité de détection précoce.
Les organisations devraient également renforcer leurs processus de vérification des sources logicielles. Un guide complet pour réaliser un diagnostic cybersécurité efficace en 2026 permet d’évaluer systématiquement les vulnérabilités de la chaîne d’approvisionnement logicielle. L’utilisation exclusive des canaux officiels, la vérification des signatures numériques, et la mise en place de listes blanches applicatives constituent des mesures complémentaires efficaces. Pour les outils de développement, l’institutionalisation de l’utilisation de gestionnaires de paquets approuvés comme唯一 source limite considérablement la surface d’attaque.
| Indicateur | Description | Action recommandée |
|---|---|---|
geminicli[.]co[.]com | Domaine typosquatté Gemini CLI | Blocage DNS au niveau du proxy |
claudecode[.]co[.]com | Domaine usurpant Claude Code | Ajout aux blacklists URL |
events[.]msft23[.]com | Serveur C2 | Blocage firewall + chasseIOC |
| Commandes PowerShell suspectes | Pattern Invoke-RestMethod + Invoke-Expression | Alerte SOC + analyse mémoire |
La formation des développeurs aux risques de SEO poisoning représente un investissement à forte valeur ajoutée. Les sessions de sensibilisation doivent couvrir l’identification des domaines frauduleux, la vérification des sources d’installation, et les procédures de signalement des installations suspectes. Cette approche humaine complète les défenses techniques en créant une ligne de défense consciente des risques.
L’intersection entre adoption IA et risque de chaîne d’approvisionnement
Cette campagne illustre de manière striking l’évolution du paysage des menaces autour de l’intelligence artificielle. L’intégration croissante des outils IA dans les environnements professionnels crée de nouvelles opportunités pour les attaquants, qui ciblent délibérément les Adoption patterns émergents. Les développeurs, premiers utilisateurs de ces technologies, se trouvent en première ligne de cette menace.
Le phenomenon du SEO poisoning n’est pas nouveau, mais son application aux outils IA reflète une adaptation rapide des tactiques cybercriminelles. Les attaquants suivent l’actualité technologique et ajustent leurs campagnes en conséquence, ciblant les termes de recherche en pleine croissance pour maximiser leur reach. Cette réactivité témoigne d’une cybercriminalité toujours plus professionnalisée et orientée données.
Pour les équipes de sécurité, cette évolution impose une veille technologique constante et une adaptation des contrôles de sécurité aux nouvelles Adoption tools. L’inclusion des outils IA dans les politiques de sécurité des endpoints, la définition de sources d’installation autorisées, et la surveillance des comportements suspects liés à ces outils doivent désormais faire partie du socle minimal de protection.
Conclusion et perspectives
Le SEO poisoning ciblant les installateurs d’outils IA représente une évolution significative des tactiques d’accès initial. En exploitant la confiance des développeurs et la popularité croissante de Gemini CLI, Claude Code et assimilés, les attaquants ont créé un vecteur d’infection particulièrement discret et efficace. La combinaison d’usurpation d’identité, d’exécution sans fichier, et de désactivation des mécanismes de sécurité Windows rend cette menace difficile à détecter par les solutions traditionnelles.
Face à ce constat, les organisations françaises doivent urgemment réévaluer leur approche de la sécurité des outils de développement. La vérification systématique des sources, la surveillance comportementale des endpoints, et la formation continue des développeurs constituent les piliers d’une défense efficace contre cette menace. L’intégration de ces pratiques dans les politiques de sécurité,符合 les exigences réglementaires NIS2 et DORA, représente un investissement essentiel pour la protection des environnements professionnels.
La vigilance reste de mise. Cette campagne documentée par EclecticIQ représente probablement la première vague d’une tendance qui s’accentuera dans les mois à venir. L’écosystème des outils IA continuera de se développer, et les attaquants suivront inévitablement cette évolution. Pour mieux anticiper ces mutations, consultez notre analyse des perspectives cybersécurité 2026 : tendances et défis à venir. La capacité des équipes de sécurité à anticiper ces menaces et à adapter leurs défenses déterminera largement la résilience des organisations françaises face à ce nouveau paradigme de risque.