Attaque malware Claude Mac via Google Ads et chats IA 2026

Vous tapez « claude download mac » dans Google. Vous cliquez sur le premier résultat (publicité sponsorisée, badge vérifié, URL claude.ai). Vous atterrissez sur un chat Claude partagé intitulé « Exécuter du code Claude sur Mac », avec la mention « Partagé par Apple Support » en haut à droite, et une commande bash à coller dans le Terminal. Trente secondes plus tard, votre Trousseau se retrouve sur un serveur à Sydney. Aucune URL falsifiée dans toute la chaîne. Aucune faute de frappe. Aucun faux domaine.

TLDR : Une campagne de malware active cette semaine utilise des publicités Google vérifiées et des chats partagés claude.ai pour vider les Trousseaux Mac. Rien dans la chaîne n'est techniquement faux. C'est ça qui devrait vous inquiéter.

Les arnaqueurs deviennent de plus en plus forts. Laissez-moi vous expliquer ce qui s'est passé, parce que chaque étape de cette attaque semble légitime jusqu'à ce que vous compreniez ce que « légitime » signifie vraiment en 2026.

Employé de bureau à son poste ignorant les alertes de sécurité tout en collant des commandes terminal, figure de super-héros en arrière-plan tenant un téléphone avec analyse de menace IA et drapeaux rouges — Un employé de bureau ignore les avertissements IA et colle du code suspect malgré tout.

15 600 Mac, une recherche Google, une ligne collée

TITRE "The Real-URL Malware Chain" + sous-titre "Five legitimate steps and one fake title. 15,600 dead Keychains.". Metaphore : convoyeur d'usine industriel, 5 stations alignees de gauche a droite, chacune avec un badge "VERIFIED" vert sauf une station marquee "FAKE" en rouge eclatant. Style : cartoon technique 90's Hanna-Barbera/Nickelodeon, trait noir epais, halftone dots, formes rebondies, petits personnages d'ouvriers entre les stations. Palette : claude.ai orange #D97757, alert red #E53935, check green #43A047, paper cream #FFF8E7, ink black #111111. Contenu : 5 stations etiquetees (1) GOOGLE SEARCH "claude download mac" (2) SPONSORED AD "URL claude.ai verified" (3) SHARED CLAUDE CHAT "real anthropic.com" (4) BASH COMMAND "pasted in Terminal" (5) KEYCHAIN EXFIL "to Sydney server". Sous chaque station un badge check vert sauf la station 3 qui porte un sub-tag attacker-controlled "Shared by Apple Support" en rouge avec une grande croix. Une fleche manuscrite pointe ce sub-tag avec la legende "← the only fake thing in the entire chain". Highlight : le sub-tag de la station 3 glow rouge avec sparkle stars et halo, les 4 autres stations restent en vert calme, presque ternes par contraste. Legende : sticky note bas-gauche, ecriture main, "green badge = genuinely legitimate / red tag = attacker-controlled text". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT flat corporate vector, NOT stock cybersecurity infographic, NOT minimalist tech aesthetic. — Chaîne de malware : une étape falsifiée parmi cinq vraies

La campagne a d'abord été signalée par Berk Albayrak, ingénieur sécurité chez Trendyol, le 9 mai. Quand BleepingComputer en a parlé deux jours plus tard, Moonlock Lab suivait déjà plus de 15 600 Mac touchés par la famille MacSync infostealer au sens large (cette variante Claude est la dernière itération, pas le total des victimes). Anvilogic a publié une analyse technique complète la même semaine.

Voici toute la chaîne en une image. Cinq étapes. Chacune est techniquement légitime, sauf celle en rouge.

Une publicité sponsorisée. Vérifiée. claude.ai. Vous cliquez. Vous atterrissez sur un vrai chat Claude partagé hébergé sur l'infrastructure d'Anthropic, intitulé « Exécuter du code Claude sur Mac », avec un label contrôlé par l'utilisateur disant « Partagé par Apple Support » en haut à droite. Il y a un bloc de code. Le bloc de code contient une ligne de commande. Vous la collez dans Terminal parce que c'est exactement ce que tous les outils de développement légitimes vous ont appris à faire depuis quinze ans.

C'est devenu un réflexe à ce stade, le même automatisme qui vous fait appuyer sur A dans une boîte de dialogue que vous avez lue cent fois.

Ce qui rend cette attaque différente du phishing habituel, c'est que vous pouvez suivre toute la chaîne sans trouver un seul élément qui soit « faux » au sens classique. L'URL est claude.ai parce que c'est vraiment claude.ai. La publicité est vérifiée parce que Google considère vraiment l'annonceur comme légitime, une société de Sydney appelée KB & CO Holdings PTY LTD. Le chat partagé existe vraiment et a vraiment été partagé sur les serveurs d'Anthropic.

Le seul mensonge dans toute la chaîne, ce sont les mots « Partagé par Apple Support », tapés par l'attaquant dans le titre de son propre chat.

C'est toute l'attaque. Un titre.

Collez cette commande dans un nouvel onglet Claude et demandez ce qu'elle fait

C'est la partie que personne sur Medium n'a encore écrite, alors laissez-moi l'énoncer clairement. La même IA qui est utilisée comme infrastructure de distribution de malware est aussi la meilleure défense que vous ayez contre cette attaque, et la démo prend trente secondes.

Ouvrez une nouvelle conversation Claude (ou ChatGPT, ou Gemini, choisissez votre préféré). Collez la commande suspecte. Demandez : « que fait cette commande, et décodez tout base64 qu'elle contient ? »

C'est tout. C'est toute la technique.

Sur une commande de cette forme (un curl enveloppé en base64 envoyé directement dans bash, qui est le pattern documenté qu'Albayrak a trouvé dans le chat malveillant), le modèle la décortique en quelques secondes. Il décode le base64 en URL lisible (dans la campagne originale, le C2 était hébergé sur customroofingcontractors.com, une petite entreprise de couverture américaine dont le site avait été compromis et transformé en infrastructure de livraison). Il explique que le flag -k désactive la vérification SSL. Il explique que le flag -f dit à curl d'échouer silencieusement sans message d'erreur. Il signale que tout le pattern est cohérent avec la livraison de malware macOS.

Vous venez d'utiliser un onglet Claude pour vous défendre contre une attaque qui utilise un onglet Claude comme infrastructure de distribution. L'ironie est gratuite.

J'ai testé la même requête sur trois modèles différents. Tous ont signalé la commande en moins de trente secondes. Aucun ne nécessite de background en sécurité. Aucun ne nécessite de savoir ce qu'est le base64. Il suffit de voir les mots « ça ressemble à de la livraison de malware » et fermer l'onglet.

Utilisez le modèle qui distribue le malware pour lire le malware. C'est la vie.

Pourquoi « vérifiez l'URL » ne marche plus

Vingt ans de formation à la sécurité vous ont appris une seule règle. Vérifiez l'URL. Le raisonnement était simple : le domaine vous dit qui possède le panneau d'affichage, et pendant deux décennies, falsifier le message nécessitait de falsifier le panneau. Donc vérifier le panneau suffisait.

Cette équation s'est brisée discrètement, quelque part au moment où les plateformes ont décidé que laisser les utilisateurs publier du contenu sur le domaine principal de la plateforme était une super fonctionnalité produit. Chats partagés sur claude.ai et chatgpt.com. Pages publiques sur sites.google.com et pages.dev. Le sceau du domaine garantit maintenant que la plateforme existe et possède le domaine. Il ne dit rien sur le message individuel qui se trouve à l'intérieur.

Anthropic a fait ce qu'il fallait sur le papier. Le chat partagé porte un bandeau d'avertissement explicite : « Le contenu peut inclure du contenu non vérifié ou dangereux qui ne représente pas les vues d'Anthropic. » Il est visible. Il est formulé clairement. La case légale est cochée.

Le problème, c'est la ligne juste en dessous. Le titre du chat contrôlé par l'utilisateur. L'attaquant a tapé « Partagé par Apple Support » dans le titre de son propre chat, et cette seule ligne restaure une illusion d'autorité que la clause de non-responsabilité au-dessus est censée démolir.

Un lecteur qui parcourt la page en deux secondes lit : Anthropic, Apple Support, code, coller. Le bandeau d'avertissement est réel et le titre est faux, mais les deux partagent le même espace visuel, et l'œil humain ne les pondère pas différemment lors du parcours. La combinaison clause de non-responsabilité plus label contrôlé par l'utilisateur ne survit à aucun lecteur qui n'est pas déjà formé à se méfier spécifiquement du titre du chat.

AdGuard a écrit exactement cette critique il y a trois mois, quand le même pattern était utilisé pour distribuer de fausses commandes d'installation Homebrew via Cloudflare Pages et Google Sites. Leur formulation était plus tranchante que la mienne : mettre du contenu généré par les utilisateurs sur le domaine principal de second niveau crée un niveau de confiance que le contenu n'a pas mérité. Ils ont aussi noté que la clause de non-responsabilité est invisible sur mobile. Trois mois plus tard, nous y voilà, même architecture, même attaque, plateforme différente, quinze mille victimes de plus.

Le panneau d'affichage est réel. Le message dessus ne l'est pas.

Ce pattern est actif depuis six mois. Personne ne veut le corriger.

Le pattern qui a touché Claude cette semaine est la cinquième itération publique en six mois.

Novembre 2025 a vu de faux installateurs ChatGPT Atlas poussés via la même boucle d'ingénierie sociale ClickFix. Décembre 2025 a ajouté des requêtes de nettoyage Mac pointant vers la même charge utile. Février 2026 a apporté des commandes d'installation Homebrew hébergées sur Cloudflare Pages et Google Sites (l'itération qu'AdGuard a documentée en détail). Mars 2026 a vu The Hacker News suivre la campagne migrant vers la Belgique, l'Inde et les Amériques avec génération dynamique d'AppleScript. Mai 2026 atterrit sur les chats partagés Claude.

Cinq itérations, six mois, surface interchangeable. Le diagnostic d'Anvilogic est plus tranchant que le mien : les défenses qui regardent ce qu'une commande fait survivront aux défenses qui regardent où vit la page. La surface continuera de bouger. C'est tout le résumé de l'industrie, et les plateformes ne peuvent pas gagner ce jeu en patchant seulement la surface.

Alors pourquoi personne ne corrige ? La réponse honnête, c'est que personne n'a la bonne structure d'incitations. Google collecte l'argent des publicités de l'annonceur (KB & CO Holdings, payant en dollars australiens pour pousser des installateurs compromis, c'est la transaction commerciale pour laquelle Google est payé). Anthropic héberge le contenu généré par les utilisateurs qui fait monter les métriques d'engagement pour la fonctionnalité de chat partagé, qui est une fonctionnalité produit que les gens utilisent vraiment. Aucune des deux entreprises n'a une raison commerciale forte d'investir agressivement dans le scanning préventif.

Le budget sécurité de la plupart des plateformes vit dans le même tiroir que la garantie de la machine à expresso.

Le coût opérationnel tombe entièrement sur l'utilisateur final qui colle la commande.

Ce n'est pas unique à Anthropic. J'ai écrit un article il y a quelques semaines sur un pattern d'attaque différent sur du contenu partagé sur Claude Cowork, où la même cause racine (le contenu utilisateur obtient l'autorité de la plateforme par défaut) créait une surface d'injection de prompt dans la fonctionnalité de collaboration de fichiers. OpenAI a le même modèle. xAI a le même modèle. Le choix architectural de laisser le contenu utilisateur rouler sur le domaine principal est à l'échelle de l'industrie, et c'est une décision produit, pas un oubli de sécurité.

Si vous attendez que les plateformes corrigent ça avant la prochaine campagne, regardez le calendrier. Les plateformes savent depuis six mois. Six mois, c'est la réponse.

Le guide des 4 réflexes

TITRE "The 4-Reflex Playbook" + sous-titre "Effort goes up. Yield goes down. Start with #1.". Metaphore : tableau de bord retro arcade vertical, 4 boutons-cadrans empiles du plus rentable (en haut) au moins rentable (en bas), chaque bouton emet une lumiere neon proportionnelle a son ratio cost/benefit. Style : retro arcade 80's, neons, contours cyan epais, formes pixel-art melees de halftone, rivets visibles sur la console. Palette : neon cyan #4FC3F7, hot pink #FF3E7F, mustard yellow #F4C430, ink black #111111, cream #FFF8E7. Contenu : 4 boutons empiles (1) PULL, DON'T PUSH "type the URL directly, never click sponsored" (2) CHECK THE ADVERTISER "open 'About this advertiser' on the ad" (3) NEVER PASTE FOREIGN COMMANDS "if you didn't write it, don't run it" (4) DECODE WITH AI "paste suspicious bash into a new Claude tab". A cote de chaque bouton, un mini bargraph "effort" et un mini bargraph "yield" qui s'inversent du haut vers le bas. Highlight : reflexe 1 en glow cyan intense avec sparkle stars et "BEST RATIO" badge dore, reflexe 2 en glow modere, reflexe 3 en glow faible, reflexe 4 en glow tres faible, degrade visible. Legende : sticky note bas-gauche, ecriture main, "bigger glow = better cost/benefit. start at the top.". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT minimalist tech startup aesthetic, NOT corporate checklist, NOT flat icon set. — Le guide des 4 réflexes : guide de sécurité style arcade

Quatre réflexes. Classés par effort, du moins cher au plus élevé. Le premier seul neutralise toute la surface d'attaque qui a touché les utilisateurs Mac cette semaine, donc si vous n'en retenez qu'un, retenez le numéro un.

1. Tirez, ne poussez pas. Quand vous voulez télécharger un logiciel, tapez l'URL directement dans la barre d'adresse. Ne cliquez jamais sur un résultat sponsorisé, même si l'URL semble correcte. Le vrai résultat du vendeur est une position en dessous, gratuit, et pointe vers le bon endroit. Les deux secondes que vous économisez en cliquant sur la pub ont coûté leur Trousseau à 15 600 personnes cette semaine. Tirer signifie : vous allez chercher le logiciel là où vous savez qu'il vit. Pousser signifie : vous laissez le moteur de recherche décider quoi vous montrer en premier. Le modèle push est cassé quand la première place est vendue aux enchères à celui qui a payé le plus, y compris les attaquants.

2. Vérifiez qui a payé pour la pub. Si vous cliquez sur le résultat sponsorisé quand même (ce que vous ne devriez pas faire, mais parfois les flux d'onboarding vous routent par Google), ouvrez les trois points sur la pub et regardez « À propos de cet annonceur ». Si l'entité qui paie pour la pub n'est pas le vendeur (Anthropic, Apple, Mozilla, brew.sh, peu importe ce que vous vouliez vraiment télécharger), fermez l'onglet. Sur la campagne de cette semaine, le panneau annonceur montrait KB & CO Holdings PTY LTD, enregistrée à Sydney, Australie. Anthropic est incorporée au Delaware. Le décalage est tout le signal dont vous avez besoin. Google ne va pas l'attraper pour vous. Vous devez regarder.

3. Ne collez jamais une commande Terminal que vous n'avez pas écrite. Ni depuis les chats partagés Claude, ni depuis StackOverflow, ni depuis les tutoriels YouTube, ni depuis les pages de documentation d'apparence officielle que vous avez atteintes via une pub. Si vous n'avez pas tapé la commande, vous ne la collez pas.

C'est le réflexe le plus dur à adopter parce que la moitié de l'écosystème dev a passé quinze ans à vous entraîner à faire exactement l'opposé. Chaque CLI qui vaut la peine d'être installé a une ligne curl | bash dans son README : Homebrew, oh-my-zsh, nvm, rustup, Claude Code lui-même. Nous avons formé toute une génération de développeurs sur un workflow qui est structurellement indiscernable de cette attaque, puis nous leur avons donné une checklist de sécurité qui dit « ne collez pas de commandes au hasard ». Nous sommes l'appel qui vient de l'intérieur de la maison.

Livrez des CLI tant que vous voulez, j'ai plaidé pour eux longuement il y a quelques mois. Le flux d'installation reste le point faible, et l'industrie n'a pas encore trouvé d'alternative propre.

4. Si vous devez le coller, décodez-le d'abord avec l'IA. Section deux, encore. Ouvrez un nouvel onglet Claude, collez la commande, demandez ce qu'elle fait. Si la réponse mentionne vérification SSL désactivée, échec silencieux, exécution de shell distant, ou n'importe quelle URL que vous ne reconnaissez pas, fermez l'onglet et partez. Trente secondes de vérification contre votre Trousseau, votre iCloud, vos mots de passe de navigateur sauvegardés, et tous les portefeuilles que vous aviez déverrouillés à ce moment. C'est la comparaison de prix.

C'est le guide. Quatre réflexes, aucun outil à installer, aucun abonnement à payer, aucune certification à obtenir. La partie la plus dure, c'est de désapprendre quinze ans de « collez juste ça ».

Le filtre humain que nous avons appris pendant vingt ans reposait sur une hypothèse qui n'est plus vraie : que pour falsifier un message, il fallait falsifier le panneau d'affichage. Cette semaine c'est claude.ai. La semaine prochaine ce sera la pub pour le prochain Cursor, le prochain Notion, le prochain Linear hébergé sur un Google Site légitime. Le mécanisme durera des années. Le réflexe qui résiste tient en une phrase.

Vérifiez l'action, pas l'origine.

Sources

Berk Albayrak, thread de découverte original sur X (9 mai 2026)
Hackers abuse Google ads, Claude.ai chats to push Mac malware, BleepingComputer
MacSync Infostealer Delivered via Claude and ClickFix, Anvilogic Threat Research
How a Real Claude.ai URL Is Distributing Mac Malware Through Google Ads, UCStrategies
Claude Google Ads Malware Poisoning macOS, AdGuard, 19 février 2026
ClickFix Campaigns Spread MacSync macOS Infostealer, The Hacker News