Claude Code Identifie un Backdoor Malveillant dans un Dépôt GitHub lors d'un Audit Technique

Claude Code a été utilisé pour effectuer un audit de sécurité sur un dépôt GitHub avant son exécution, empêchant une compromission potentielle par un logiciel malveillant. Le développeur a été contacté via LinkedIn pour un rôle contractuel avec une startup Fintech alimentée par l'IA et a été invité à examiner leur MVP sur GitHub avant un appel.

Invite d'audit et processus

Le développeur a ouvert le dépôt dans VS Code et a utilisé cette invite avec Claude Code :

"Vous effectuez un audit de diligence technique de cette base de code. Donnez-moi une évaluation brutalement honnête. Vérifiez l'exhaustivité du projet, la couche IA/ML, la base de données, l'authentification, les services backend, le frontend, la qualité du code et une estimation de l'effort. Soyez spécifique. Référencez les noms de fichiers réels. Ne pas édulcorer."

Découvertes critiques

Claude Code a identifié plusieurs problèmes de sécurité et d'intégrité :

• Porte dérobée d'exécution de code à distance : Trouvée dans src/server/routes/auth.js. Chaque fois que npm run dev est exécuté, il récupère silencieusement une URL distante et exécute le code retourné avec un accès complet au système (système de fichiers, réseau, processus). L'exécution se produit silencieusement avec suppression des échecs.
• Implémentation de base de données factice : Les utilisateurs étaient stockés dans un tableau simple qui se réinitialise à chaque redémarrage au lieu d'une véritable base de données.
• Aucune fonctionnalité IA/ML : Le dépôt ne contenait que des données factices codées en dur avec une logique basique basée sur des règles, malgré les affirmations du README concernant l'apprentissage automatique, le TAL et l'analyse prédictive.
• Tromperie frontend : Le frontend revient silencieusement à des données factices à chaque échec d'API, faisant paraître les démonstrations polies quelle que soit la fonctionnalité réelle.

Contexte d'ingénierie sociale

L'attaque ciblait les développeurs, les freelances et les agences invités à examiner ou à contribuer à des dépôts dans le cadre de processus d'embauche ou contractuels. L'ingénierie sociale était sophistiquée avec des messages LinkedIn professionnels, une documentation README convaincante et des tarifs attractifs (60 à 100 $/h en contrat à distance). Le dépôt semblait légitime et était conçu pour encourager une exécution immédiate.

Pratiques de sécurité recommandées

• Ne jamais exécuter un dépôt inconnu sans l'auditer au préalable
• Utiliser Claude Code pour analyser les dépôts avant exécution (l'audit a pris une seule invite)
• Rechercher des modèles d'exécution obfusqués avant d'exécuter npm run dev
• Être méfiant envers les dépôts où l'installation déclenche des scripts automatiques

Le développeur a rapporté que Claude Code est désormais une étape standard dans son processus d'intégration pour chaque nouveau dépôt client. Après avoir confronté le contact LinkedIn avec les découvertes, l'individu a immédiatement bloqué le développeur.