Empoisonnement SEO : comment les hackers ciblent les développeurs avec de faux installateurs Gemini CLI et Claude Code

Le nouvel eldorado des cybercriminels : les outils de développement IA

En mars 2026, les experts d’EclecticIQ ont identifié une campagne d’empoisonnement SEO d’une ampleur sans précédent. Des acteurs malveillants exploitent le succès croissant des outils de développement IA pour infecter des milliers de machines. Gemini CLI et Claude Code, deux outils plébiscités par les développeurs français et internationaux, sont au cœur de cette menace. Comment fonctionne cette technique ? Pourquoi les développeurs sont-ils des cibles privilégiées ? Et surtout, comment s’en protéger ? Décryptage.

Comprendre l’empoisonnement SEO : une technique en pleine expansion

L’empoisonnement SEO désigne l’ensemble des pratiques maliciouses visant à manipuler le classement des résultats de recherche pour_PROPAGER_des logiciels malveillants. Dans cette campagne précisément, les attaquants créent des domaines usurpant l’identité d’éditeurs légitimes, puis optimisent leur contenu pour dominer les résultats Google.

“Nous avons observé que ces faux sites affichaient un contenu quasi identique à la documentation officielle, avec parfois des scores SEO supérieurs aux sources authentiques.”

Cette technique repose sur plusieurs mécanismes :

• Typosquattage : des noms de domaine subtilement modifiés (geminicli[.]co[.]com au lieu de la version légitime)
• Contrefaçon de contenu : reproduction fidèle des pages d’installation officielles
• Optimisation malveillante : utilisation de mots-clés stratégiques et de backlinks artificiellements générés

Les développeurs, pressés par les délais et confiants dans leur vigilance, tombent souvent dans le piège. La frontière entre le site officiel et le site frauduleux devient progressivement plus floue.

Les mechanisms d’une infection réussie

L’attaque commence lorsqu’un développeur recherche “installation Gemini CLI” sur Google. Le moteur de recherche, dupé par l’optimisation malveillante, affiche le faux domaine en première position. L’utilisateur, persuadé de consulter la documentation officielle, suit les instructions.

Selon les données d’EclecticIQ, la page frauduleuse affiche des instructions d’installation parfaitement calibrées. Elle invite l’utilisateur à exécuter une commande PowerShell apparemment anodine. Cette commande, souvent présentée comme un raccourci d’installation rapide, déclenche en réalité le téléchargement silencieux d’un script malveillant depuis un serveur distant.

La chaîne d’infection repose sur l’enchaînement de trois éléments :

1. Invoke-RestMethod : récupération du script distant
2. Invoke-Expression : exécution du code en mémoire
3. Installation parallèle du logiciel légitime : création de l’illusion d’une installation réussie

Cette dernière étape est particulièrement ingénieuse. Le script malveillant installe simultanément le véritable Gemini CLI via npm. L’utilisateur constate donc un comportement normal, ce qui renforce sa confiance. Il ne soupçonnerait jamais que son système vient d’être compromis.

Analyse technique du maliciel : un infostealer mémoire

Le maliciel déployé dans cette campagne appartient à la catégorie des infostealers, ces programmes spécialisés dans la collecte et l’exfiltration de données sensibles. Ce qui le distingue toutefois, c’est son mode opératoire entièrement fileless.

Désactivation des défenses natives Windows

Dès son exécution, le maliciel procède à la désactivation de deux mécanismes de sécurité critiques de Windows :

• ETW (Event Tracing for Windows) : ce système permet aux solutions de sécurité de tracer l’activité des processus
• AMSI (Antimalware Scan Interface) : cette interface permet aux antivirus d’analyser les scripts powershell en temps réel

En désactivant ces protections, le maliciel rend les solutions antivirus quasi inopérantes. Les mécanismes de détection traditionnels, basés sur l’analyse de fichiers sur le disque, deviennent obsolètes face à une menace qui n’existe qu’en mémoire.

Collecte exhaustive des données sensibles

Une fois actif, le maliciel déclenche une collecte systématique des informations sensibles présentes sur la machine compromise. Voici les catégories de données ciblées :

• Identifiants de navigation : mots de passe, cookies de session, jetons OAuth
• Informations d’entreprise : clés SSH, configurations VPN, accès aux répertoires cloud
• Outils de collaboration : données extraites de Slack, Microsoft Teams, Discord et Zoom
• Actifs numériques : portfouilles de cryptomonnaies, ciblés par des maliciels mobiles sophistiqués
• Fichiers locaux : documents, archives, bases de données

“Le niveau de compromission atteint par ce maliciel permet aux attaquants de déployer des charges utiles additionnelles via exécution de code à distance.”

Cette dernière capability transforme l’infection initiale en porte d’entrée vers des attaques plus sophistiquées. Les opérateurs peuvent désormais accéder manuellement aux systèmes compromis, escalader les privilèges, et pivoter vers d’autres ressources du réseau.

Infrastructure de l’attaque : plus de 30 domaines identifiés

L’analyse de l’infrastructure par les chercheurs a révélé un réseau sofisticé. Plus de 30 domaines ont été identifiés, tous hébergés sur des services de hosting inviolable. Ces domaines usurpent l’identité de nombreux outils de développement.

La réutilisation de l’infrastructure entre les campagnes Gemini CLI et Claude Code suggère qu’un même groupe d’acteurs orchestre l’ensemble des opérations. Les similarités dans les schémas de nommage et les techniques d’évasion confirment cette hypothèse.

La commande-and-control

Le flux de données entre la machine infectée et les serveurs des attaquants emprunte des canaux discrets. Le domaine events[.]msft23[.]com, identifié comme serveur de commande-et-contrôle, reçoit les données volées sous forme chiffrée. Cette architecture permet aux opérateurs de reconstituer les informations exfiltrées tout en évitant la détection par les solutions de sécurité réseau.

Pourquoi les développeurs sont des cibles à haute valeur

Cette campagne illustre une tendance préoccupante dans le paysage des cybermenaces : le ciblage délibéré des développeurs. Plusieurs facteurs expliquent ce choix stratégique.

Privilèges élevés et accès critique

Les développeurs opèrent quotidiennement avec des droits administratifs sur leurs machines de travail. Ils accèdent aux dépôts de code source, aux environnements de production, et aux systèmes d’intégration continue. Une compromission de leur poste représente donc un risque systémique pour l’organisation.

Contexte de confiance

L’écosystème du développement logiciel repose sur une culture de confiance. Les développeurs téléchargent régulièrement des paquets, exécutent des scripts trouvés sur Stack Overflow, et font confiance aux documentations officielles. Cette dynamique crée un terrain fertile pour les attaques par ingénierie sociale.

Intersection IA et chaîne d’approvisionnement

L’adoption massive des outils IA dans les environnements professionnels intensifie le risque. Les attaquants ciblent précisément les recherches liées à Gemini CLI, Claude Code et leurs équivalents, anticipant une croissance exponentielle de ces outils. En compromis un poste de développeur, ils peuvent potentiellement infiltrer la chaîne d’approvisionnement logicielle de l’entreprise.

Impact sur l’écosystème de sécurité français

En France, le contexte réglementaire renforce l’urgence de cette menace. Le cadre RGPD impose des obligations strictes en matière de protection des données. Une infection similaire pourrait déclencher des sanctions administratives lourdes, sans compter les risques de fuite de données industrielles.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) alerte régulièrement sur les campagnes d’empoisonnement SEO. Dans un contexte où la cybersécurité devient un enjeu stratégique national, la protection des développeurs représente un maillon essentiel de la chaîne de défense.

Statistiques clés du phénomène

• 30+ domaines identifiés dans la campagne
• +200 vulnérabilités potentielles exploitées annuellement via ce vecteur, comme la faille zero-day LiteSpeed qui expose des serveurs au piratage root
• Temps moyen de détection : souvent supérieur à plusieurs semaines pour les infections fileless

Ces chiffres illustrent l’ampleur du phénomène et la difficulté de détection par les solutions traditionnelles.

Stratégies de protection recommandées

Face à cette menace, les équipes de sécurité doivent adopter une posture proactive. Voici les mesures essentielles à déployer.

Vérification systématique des sources

1. Vérifier l’URL avant toute installation : privilégier les sources officielles (gemini.google.com, anthropic.com)
2. Utiliser les gestionnaires de paquets officiels (npm, pip, cargo) plutôt que les scripts d’installation tiers
3. Consulter les signatures SHA-256 des fichiers téléchargés lorsque disponibles

Détection des comportements suspects

Les équipes SOC doivent surveiller les indicateurs suivants :

• Chaînage Invoke-RestMethod + Invoke-Expression dans les logs PowerShell
• Exécution PowerShell cachée (fenêtres minimisées ou silencieuses)
• Connexions sortantes inhabituelles vers des domaines suspectant l’usurpation d’outils

Renforcement de la détection endpoint

Les solutions EDR doivent être configurées pour détecter les comportements anormaux :

# Exemple de rule de détection
# Surveiller les appels Invoke-Expression avec des URLs externes
# Bloquer PowerShell si AMSI est modifié
# Alerter sur les connexions vers les domaines de la liste IOC

Sensibilisation des équipes de développement

La formation reste le rempart le plus efficace. Un guide complet de formation à la cybersécurité permet aux développeurs d’être formés à :

• Identifier les tentatives de typosquattage
• Vérifier systématiquement l’authenticité des ressources
• Signaler toute anomalie au service de sécurité

Persistence du marché des infostealers malgré les actions judiciaires

Il est remarquable de noter que malgré les opérations des forces de l’ordre contre des acteurs majeurs comme RedLine et LummaC2, le marché des infostealers continue de prospérer. Les coûts opérationnels restent bas, et la demande pour les données volées reste élevée.

Cette réalité souligne les limites des approches répressives isolées. La complémentarité entre action judiciaire, sensibilisation des utilisateurs, et renforcement technique demeure la stratégie la plus efficace.

Conclusion : vers une culture de sécurité proactive

L’empoisonnement SEO ciblant les outils de développement IA représente une évolution significative dans le paysage des cyberattaques. En exploitant la confiance des développeurs et la popularité croissante de Gemini CLI et Claude Code, les acteurs malveillants ont créé un vecteur d’infection particulièrement efficace.

La détection de cette campagne par les chercheurs d’EclecticIQ illustre l’importance de la veille en threat intelligence. Pour les organisations françaises, l’enjeu dépasse la simple protection technique : il s’agit de préserver l’intégrité des chaînes d’approvisionnement logiciel et de protéger les actifs informationnels critiques.

Face à cette menace persistante, la vigilance individuelle des développeurs et l’investissement dans des solutions de détection avancées constituent les meilleurs remparts. L’année 2026 confirme que la sécurité informatique n’est plus une option, mais une nécessité absolue pour toute équipe de développement. Les indicateurs techniques fourni (IOCs) permettent aux équipes de sécurité de renforcer leurs mécanismes de détection et de protéger efficacement leurs environnements.

Indicateurs de compromission (IOCs) à surveiller : plus de 30 domaines identifiés dont geminicli[.]co[.]com, claudecode[.]co[.]com, chocolatey-setup.co[.]com, ainsi que des empreintes SHA-256 spécifiques au maliciel. Consultez votre plateforme de threat intelligence (MISP, VirusTotal, SIEM) pour intégrer ces indicateurs dans vos règles de détection.