SEO Poisoning : comment les hackers ciblent les développeurs via de faux installateurs Gemini CLI et Claude Code
Théophane Villedieu
En mars 2026, les chercheurs d’EclecticIQ ont documenté une campagne d’une sophistication préoccupante : des acteurs de menace finançant leurs opérations via le vol de données se sont tournés vers le SEO poisoning pour piéger les développeurs cherchant à installer des outils d’intelligence artificielle. Gemini CLI et Claude Code - deux outils légitime,分别为Google et Anthropic - ont été imités avec une précision troublante. L’objectif : infecter des machines haute valeur, extraire des identifiants et siphonner des actifs numériques worth des centaines de milliers d’euros sur les marchés criminels.
Cette campagne illustre un changement de paradigme dans la menace APT orientée développeur. Là où les attaques traditionnelles visaient les utilisateurs finaux via des phishing generiques, les acteurs derrière cette operation ciblent des profils特权 avec des faux sites qui rankent au-dessus des sources officielles sur Google. Le coût d’entrée est faible, le retour sur investissement est considérable, et les defenses traditionnelles peinent à detecter des charges utiles fileless 操作nant uniquement en mémoire.
Comment le SEO poisoning dirige les développeurs vers des sites malveillants
Le mécanisme de l’empoisonnement des résultats de recherche
Le SEO poisoning repose sur la manipulation des algorithmes de classement des moteurs de recherche pour rendre visibles des sites malveillants lors de requêtes spécifiques. Dans le cas documenté par EclecticIQ, les attaquants ont cree plus de 30 domaines fraudeurs impersonnant des outils de developpement populaires, dont Node.js, Chocolatey, KeePassXC, Gemini CLI et Claude Code.
La technique principale utilisee est le typosquatting : les domaines frauduleux reproduisent les noms officiels avec des variantes subtiles. Par exemple, geminicli[.]co[.]com pour Gemini CLI, ou claudecode[.]co[.]com pour Claude Code. L’ajout de .co[.]com est un marquage typiquement utilisé pour abuser la structure des noms de domaine et eviter les filtres automatises.
Ces domaines sont heberge sur des services de bulletproof hosting - des infrastructures tolerant tout type de contenu et resistantes aux demandes de suppression. Cette resiliente operationnelle permet aux campagnes de rester actives plusieurs semaines, voir plusieurs mois, meme après detection.
« Les developpeurs ne cherchent pas deliberement des sites malveillants. Ils cherchent l’outil qui leur simplifiera la vie. C’est précisément cette intention qui les rend vulnérables : la confiance implicite accordée à un resultat Google haut dans les rankings crée une faille exploitable. »
Le chainage de domaines falsifies
L’analyse d’EclecticIQ a révèle un schema d’operation particulier : le chainage de plusieurs domaines frauduleux pour renforcer la credibilité de la chaîne d’infection. Un internaute cherchant l’installateur Node.js etait redirige vers nodejs-setup.co[.]com, qui affichait de fausses instructions d’installation. Le script PowerShell execute récupérait ensuite la charge utile depuis gemini-setup[.]com - un domaine distinct contrôlé par le meme acteur.
Ce chainage presente deux avantages pour l’attaquant :
- Il brouillage les pistes analytiques en séparant le point de chute de la page de deception.
- Il permet de faire evoluer l’infrastructure indépendamment de chaque maillon de la chaîne.
La double execution : malware et outil legitime cote a cote
Une installation qui semble reussir
L’element le plus inquietant de cette campagne n’est pas la presence du malware, mais la facon dont il se dissimule. Le script malveillant execute en arrière-plan telecharge et lance un infostealer operant entierement en mémoire, tout en declenchant simultanement l’installation du outil legitime via npm (Node Package Manager).
Concrètement, le developpeur voit son terminal afficher un message de succès pour gemini-cli ou claude-code. L’outil est fonctionnel. Le developpeur l’utilise. Et dans le meme temps, le malware s’exécute silencieusement, collectant et exfiltrant des donnees sensibles.
Cette technique - installation legitime + malware silencieux - presente un avantage psychologique majeur. Elle désarme la méfiance. Quand un developpeur constate que son outil fonctionne correctement, la dernière chose qu’il suspecte est une compromission. La majorite des detections surviendraient des semaines, voire des mois, apres l’infection initiale.
L’infrastructure C2 et l’exfiltration
Une fois actif, le malware establit une communication avec une infrastructure command-and-control situee notamment sur events[.]msft23[.]com. Les données collectées sont transmises sous forme chiffre, limitant la capacité des outils de detection reseau classiques à identifier le trafic malveillant.
La presence d’un domaine utilisant le motif msft - rappelant Microsoft - dans l’infrastructure C2 n’est pas anodine. Elle suggère une volonté de se fondre dans le trafic legitime d’entreprises utilisant des services Microsoft 365, compliquant le travail des analysts SOC confrontes a des alertes sur des connexions inhabitueles mais plausibles.
Capacites de l’infostealer : ce que les attaquants récupèrent
Collecte exhaustive des actifs numériques
L’analyse technique de la charge utile a révèle un spectre de collection impressif. L’infostealer est conçu pour cibler :
| Categorie | Données collectées |
|---|---|
| Navigateurs | Identifiants, cookies de session, jetons OAuth |
| Outils collaboratifs | Données Slack, Microsoft Teams, Discord, Zoom |
| Réseau | Configurations VPN, clés SSH, clés API |
| Cloud | Contenus des repertoires de stockage cloud |
| Finance | Portefeuilles cryptocurrency, clés privées |
| Fichiers locaux | Accès au systeme de fichiers pour exfiltration ciblée |
Au-delà de la collecte automatisee, le malware integre une fonctionnalité de remote code execution (RCE). Cette capacite permet aux attaquants de passer d’un vol de données automatise a des operations manuelles - ce que les analystes nomment hands-on-keyboard attack. Un operateur peut alors executer des commandes arbitraires, deplover des charges utiles supplementaires, et progresser latéralement au sein du réseau de l’entreprise.
Cette escalade transforme l’incident d’un simple vol d’identifiants en breach potentiel avec impact business majeur : ransomware, exfiltration de code source, sabotage operationnel.
Contournement des defenses endpoint
Le malware desactive deux protections Windows fondamentales pour eviter sa detection :
- ETW (Event Tracing for Windows) : mécanisme de telemetrie utilisé par la majorite des solutions EDR pour enregistrer l’activite systeme.
- AMSI (Antimalware Scan Interface) : interface permettant aux solutions antivirus d’analyser les scripts interprets (PowerShell, VBScript, JavaScript) a l’execution.
La combination de ces deux desactivations rend la detection par les outils endpoint traditionnels extremement difficile. Un script PowerShell obfusque operant entierement en mémoire, avec ETW et AMSI desactives, peut executer sa charge utile sans generer la moindre alerte dans la console SOC.
« L’objectif n’est plus de contourner le pare-feu. C’est de rendre muet le systeme de detection local. Une fois ETW et AMSI neutralisés, l’attaquant dispose d’un accès presque silencieux a la machine. »
Pourquoi les développeurs sont des cibles a haute valeur
Privilèges élévés et accès critique
Les developpeurs representent un profil d’une valeur operationnelle particuliere pour plusieurs raisons. Ils travaillent typiquement avec :
- Des accès privilégiés aux repertoires de code source, aux environnements de production, aux outils CI/CD.
- Des clés API et jetons d’authentification pour des services cloud (AWS, Azure, GCP).
- Des sessions SSH actives vers des serveurs de production ou de staging.
- Des identifiants d’entreprise souvent stockés dans des gestionnaires de mots de passe ou des variables d’environnement.
Un seul poste de developpeur compromis peut donner accès a l’infrastructure cloud entiere d’une entreprise. Le rapport 2025 de l’ANSSI sur les compromissions de chaines logicielles confirme cette tendance : 38 % des incidents majeurs investigues par l’agence impliquaient une premiere cible developpeur ou ops.
L’intersection IA et risque de supply chain
La campagne documentee par EclecticIQ s’inscrit dans un phenomene plus large : l’exploitation de la confiance accordée aux outils d’IA generatifs dans les environnements enterprise. Les developpeurs adoptent rapidement des outils comme Gemini CLI ou Claude Code pour augmenter leur productivite. Ils ne verifient pas systematiquement l’authenticite de la source d’installation, d’autant que la documentation officielle de ces outils est parfois fragmentée ou disperse sur plusieurs plateformes.
Cette zone grise entre documentation officielle, tutoriels communautaires et sites de telechargement cree un terrain fertile pour le SEO poisoning. Un developpeur en situation de productivity pressure ne remettra pas en question un resultat Google bien ranké - d’autant moins si le site imite fidelement le design et le ton de la documentation officielle.
Indicateurs de compromission (IOCs) et detection
Liste des domaines malveillants identifies
| # | Domaine suspect |
|---|---|
| 1 | api.bio9438[.]com |
| 2 | claudecode-install[.]co[.]com |
| 3 | openclow[.]co[.]com |
| 4 | geninicli[.]co[.]com |
| 5 | keepassxc[.]us[.]org |
| 6 | claude-code[.]co[.]com |
| 7 | chocolatey[.]net (usurpation) |
| 8 | claudecode[.]co[.]com |
| 9 | chocolatey-setup[.]co[.]com |
| 10 | get-monero[.]co[.]uk |
| 11 | getmonero[.]us[.]com |
| 12 | metrics[.]msft17[.]com |
| 13 | claude-setup[.]com |
| 14 | keepassxc[.]us[.]com |
| 15 | olive3451[.]com |
| 16 | events[.]ms709[.]com |
| 17 | chocolatey-download[.]co[.]com |
| 18 | chocolatey[.]co[.]com |
Note : Les domaines sont volontairement defanged pour eviter les resolutions accidentelles. Re-fang uniquement dans des plateformes de threat intelligence controlees (MISP, VirusTotal, SIEM d’entreprise).
Signatures et comportements a surveiller
Les équipes de sécurité doivent monitorer les patterns suivant, particulièrement dans les environnements Windows avec PowerShell active :
Indicateurs comportementaux :
Invoke-RestMethodchainé avecInvoke-Expressiondans un seul bloc de commande PowerShell.- Execution de scripts PowerShell caches (fenetre minimizee, pas de sortie console visible).
- Connexions sortantes inhabituelles vers des domaines imitant des outils de developpement, particularrement dans les 60 secondes suivant l’installation d’un nouvel outil.
- Trafic DNS vers des domaines
.co[.]comou.us[.]comnon familiers. - Desactivation ou erreurs systematiques dans les logs ETW ou AMSI sur des postes developpeurs.
Indicateurs réseau :
- Flux vers
events[.]msft23[.]comouevents[.]ms709[.]comdepuis des postes non-administrateurs. - Résolution DNS inhabituelle pour des variantes typosquattées de noms de domaines legitimes (Node.js, Chocolatey, KeePassXC).
Regles YARA/SIGMA recommandees :
Des regles de detection specifiques peuvent être generees à partir des hachages SHA-256 publies par EclecticIQ, notamment :
Title: Infostealer PowerShell Fileless Campaign
Description: Detects Invoke-RestMethod + Invoke-Expression pattern
with AMSI/ETW bypass indicators
Author: ECLECTICIQ / CERT community
Date: 2026-03
Reference: Campaign targeting Gemini CLI / Claude Code developers
Recommandations de protection pour les équipes IT et SecOps
Pour un accompagnement personnalisé, consultez les experts cybersécurité locaux de votre région.
Verification Mandatory des Sources d’Installation
La defense la plus effective contre le SEO poisoning reste la verification active de la source d’installation :
- Installer les outils CLI uniquement depuis les sources officielles : npm (pour Node.js), pip, les gestionnaires de packages officiels ou les depots GitHub vérifiés avec signature GPG.
- Ne jamais executer de commandes PowerShell copiees depuis un site web sans verification prealable du domaine et de la syntaxe. Les commandes legitimes ne requièrent jamais d’executer un script telecharge dynamiquement via
Invoke-Expression. - Verifier l’orthographe des domaines dans la barre d’adresse avant toute installation. Un seul caractère different peut signaler une tentative de typosquatting.
Renforcement de la Detection Endpoint
Pour les environnements enterprise, plusieurs mesures complementaires renforcent la detection de ces campagnes. Consultez un comparatif des outils de cybersécurité pour orienter vos choix de déploiement :
- Activer les contraintes de script PowerShell via AppLocker ou Windows Defender Application Control (WDAC) pour n’autoriser que les scripts signes.
- Monitorer l’execution PowerShell via Sysmon avec une configuration captureant les chaines de commandes et les parent processes atypiques.
- Deployer des regles de detection basees sur le comportement plutot que sur les signatures, notamment pour identifier les silent PowerShell launches.
- Segmenter les postes developpeur du reste du reseau pour limiter la latéralisation en cas de compromission.
Sensibilisation des équipes de développement
Le facteur humain reste le maillon faible dans ce type d’attaque. Former les équipes via des formations cybersécurité avancées :
- Identifier les patterns de SEO poisoning (resultats sponsorises, domains inhabituelement structures, instructions d’installation non standard).
- Consulter systématiquement la documentation officielle des outils avant installation.
- Signaler tout comportement inattendu après installation d’un nouvel outil (connexions reseau, lenteur, messages d’erreur).
Contexte operationnel et menace persistante
Resistances malgre les actions judiciales
Les recentes operations judiciaires contre les marchés d’infostealer RedLine et LummaC2 en 2024-2025 n’ont pas tari l’offre. Selon les analystes de EclecticIQ, l’ecosysteme de vol d’identifiants reste dynamique : les couts operationnels sont bas, la demande en credenciales volees reste elevée, et les barrieres d’entrée pour lancer une nouvelle campagne sont minimales.
Cette campagne demontrent que les acteurs financielement motivés adaptent rapidement leurs techniques. Le passage au fileless malware operant en mémoire, le ciblage de profils privilégié comme les développeurs, et l’exploitation de la popularite des outils IA montrent une capacité d’adaptation rapide aux tendances technologiques.
Implication pour la supply chain logicielle
Au-delà du vol direct d’identifiants, cette campagne illustre un risque emerging pour la supply chain logicielle. Si un acteur de menace compromet non pas le code source mais le processus d’installation d’un outil democratique, il peut établir un beachhead sur des milliers de machines avant même que le developpeur commence a écrire la premiere ligne de code.
Les equipes DevSecOps doivent intégrer des controles de vérification post-installation dans leurs pipelines : verification d’integrité des binaires, analyse comportementale des nouvelles installations, monitoring des activites reseau inhabitueles dans les heures suivant un deployment.
Conclusion : la confiance implicite en ligne est le véritable vecteur d’attaque
La campagne de SEO poisoning ciblant Gemini CLI et Claude Code ne revolutionne pas les techniques d’attaque - elle les optimise. Typosquatting, execution fileless, desactivation des defenses endpoint : chaque technique existait deja. Ce qui change, c’est leur assemblage dans un scenario cohérent visant un profil特权 historiquement sous-protége.
Les developpeurs ne sont pas des cibles naïves - ils sont des cibles a haute valeur dont le modèle de travail repose sur la confiance en ligne. Le SEO poisoning exploite cette confiance mieux que n’importe quel phishing traditionnelles, car le developpeur arrive sur le site avec une intention legitime et un sentiment de controle.
Pour les équipes de sécurité en 2026, le message est clair : la protection des environnements developpeur doit devenir une priorité structurelle. Vérification des sources, detection comportementale, et sensibilisation continue sont les trois piliers d’une defense efficace contre des campagnes dont la complexite operationnelle ne fera que croître.
La menace evolue. La defense aussi doit le faire.