7 min de lecture<\/p>\n
Une r\u00e8gle d’exclusion manquante dans le pipeline de construction a r\u00e9v\u00e9l\u00e9 le 31 mars 2026 l’int\u00e9gralit\u00e9 du code en production de Claude Code d’Anthropic. 512 000 lignes de TypeScript, empaquet\u00e9es dans un fichier Source Map de 59,8 Mo inclus dans le paquet NPM public. Le m\u00eame jour, une attaque ind\u00e9pendante sur la cha\u00eene d’approvisionnement a cibl\u00e9 le paquet NPM axios – l’une des biblioth\u00e8ques JavaScript les plus utilis\u00e9es au monde. Deux incidents distincts, un m\u00eame \u00e9cosyst\u00e8me, une seule journ\u00e9e. Ensemble, ils illustrent pourquoi la s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement NPM n’est plus un sujet marginal pour les \u00e9quipes informatiques en 2026.<\/strong><\/p>\n Le 31 mars 2026 \u00e0 08h23 UTC, Chaofan Shou a publi\u00e9 sa d\u00e9couverte sur X. Shou est doctorant \u00e0 l\u2019UC Berkeley, cofondateur de la start-up de s\u00e9curit\u00e9 blockchain Fuzzland et chercheur en bug bounty avec 1,9 million de dollars am\u00e9ricains de r\u00e9compenses document\u00e9es pour des signalements de vuln\u00e9rabilit\u00e9s. Sa d\u00e9couverte : la version 2.1.88 du paquet NPM officiel @anthropic-ai\/claude-code contenait le fichier cli.js.map. Ce fichier Source Map de 59,8 Mo contenait dans le champ sourcesContent l\u2019int\u00e9gralit\u00e9 du code source TypeScript – environ 1 900 fichiers pour 512 000 lignes de code en production.<\/p>\n La Source Map faisait \u00e9galement r\u00e9f\u00e9rence \u00e0 une archive ZIP situ\u00e9e sur un bucket Cloudflare-R2 d\u2019Anthropic, accessible publiquement. En quelques heures, la communaut\u00e9 a miroit\u00e9 le code sur GitHub. Le d\u00e9p\u00f4t le plus visible a atteint plus de 41 500 forks. Anthropic a r\u00e9agi par des notifications DMCA ; GitHub a d\u00e9sactiv\u00e9 plus de 8 100 d\u00e9p\u00f4ts dans le r\u00e9seau de forks. Le code reste disponible sur des plateformes d\u00e9centralis\u00e9es.<\/p>\n La cause probable : Anthropic utilise Bun comme runtime JavaScript. Un bogue ouvert dans Bun (signal\u00e9 le 11 mars 2026) indique que son bundler g\u00e9n\u00e8re par d\u00e9faut des Source Maps – m\u00eame en mode production, contrairement \u00e0 la documentation. Ni le fichier .npmignore ni le champ files dans package.json n\u2019excluaient les fichiers .map.<\/p>\n Ce n\u2019\u00e9tait pas le premier incident de ce type : en 2025 d\u00e9j\u00e0, les versions v0.2.8 et v0.2.28 de Claude Code contenaient des fichiers Source Map. Quelques jours avant cette fuite, environ 3 000 fichiers internes d\u2019Anthropic \u00e9taient apparus dans un cache publiquement accessible.<\/p>\n La d\u00e9claration officielle d\u2019Anthropic : \u00ab Une erreur d\u2019emballage de publication due \u00e0 une erreur humaine, pas un incident de s\u00e9curit\u00e9. \u00bb La version 2.1.88 a \u00e9t\u00e9 retir\u00e9e, la version 2.1.89 publi\u00e9e.<\/p>\n Les Source Maps sont des fichiers JSON qui relient le code JavaScript compil\u00e9 ou minifi\u00e9 \u00e0 son code source d\u2019origine. Leur champ sourcesContent contient l\u2019int\u00e9gralit\u00e9 du code source lisible. Ce sont des outils de d\u00e9bogage l\u00e9gitimes – dans les environnements de d\u00e9veloppement. Dans les paquets en production, elles deviennent un risque pour la s\u00e9curit\u00e9.<\/p>\n Des outils comme reverse-sourcemap, Shuji ou unwebpack-sourcemap reconstruisent \u00e0 partir d\u2019un seul fichier .map l\u2019arborescence compl\u00e8te avec le code source lisible. Aucun reverse engineering n\u00e9cessaire, aucun d\u00e9compilateur, aucune expertise particuli\u00e8re. Il suffit de d\u00e9compresser le fichier.<\/p>\n Dans le cas de Claude Code, ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9s : l\u2019int\u00e9gralit\u00e9 du mod\u00e8le d\u2019autorisations en quatre niveaux, la logique de validation Bash, les flux d\u2019authentification OAuth 2.0, l\u2019architecture des serveurs MCP (Model Context Protocol) et 44 drapeaux de fonctionnalit\u00e9s (feature flags) pour des fonctions non publi\u00e9es. Parmi eux, un m\u00e9canisme anti-distillation qui injecte des d\u00e9finitions d\u2019outils falsifi\u00e9es dans les requ\u00eates API afin de contaminer les donn\u00e9es d\u2019entra\u00eenement des concurrents qui les interceptent. Et un \u00ab mode undercover \u00bb qui supprime toutes les r\u00e9f\u00e9rences \u00e0 Anthropic lorsque l\u2019outil travaille dans des d\u00e9p\u00f4ts publics.<\/p>\n Aucune donn\u00e9e client. Aucune cl\u00e9 API. Mais l\u2019int\u00e9gralit\u00e9 de la propri\u00e9t\u00e9 intellectuelle de l\u2019architecture agent – fruit de milliers d\u2019heures de d\u00e9veloppement d\u2019une entreprise valoris\u00e9e \u00e0 environ 380 milliards de dollars am\u00e9ricains.<\/p>\n Le probl\u00e8me ne se limite pas \u00e0 Anthropic. Les Source Maps dans les paquets de production sont un risque sectoriel. Une \u00e9tude d\u2019Ostorlab a conclu qu\u2019environ cinq pour cent des actifs web examin\u00e9s \u00e9taient vuln\u00e9rables \u00e0 des attaques bas\u00e9es sur les Source Maps. La diff\u00e9rence : la plupart des organisations concern\u00e9es ignorent que leurs fichiers .map sont accessibles publiquement.<\/p>\n \n \u00ab\u00a0L’ironie est irr\u00e9elle – Anthropic commercialise les capacit\u00e9s de g\u00e9n\u00e9ration de code de Claude, et pourtant son propre code a fui \u00e0 cause d’une erreur d’emballage basique.\u00a0\u00bb La fuite via Source Map rel\u00e8ve principalement de deux cat\u00e9gories CWE :<\/p>\n CWE-215<\/strong> (Exposition d’informations via les donn\u00e9es de d\u00e9bogage) : les artefacts de d\u00e9bogage dans les livraisons en production exposent des d\u00e9tails internes d\u2019impl\u00e9mentation.<\/p>\n CWE-538<\/strong> (Insertion d’informations sensibles dans un fichier ou r\u00e9pertoire accessible depuis l’ext\u00e9rieur) : informations sensibles incluses dans un fichier accessible \u00e0 des acteurs externes.<\/p>\n S\u2019y ajoutent CWE-540 (Inclusion d’informations sensibles dans le code source), CWE-200 (Exposition d’informations sensibles \u00e0 un acteur non autoris\u00e9) et OWASP A01:2021 (Contr\u00f4les d’acc\u00e8s d\u00e9faillants).<\/p>\n Avant la fuite via Source Map, six CVE avaient d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9es dans Claude Code :<\/p>\n Auxquelles s\u2019ajoutent CVE-2025-59828 (ex\u00e9cution de configuration Yarn avant dialogue de confiance), CVE-2025-64755 (analyse Sed contournant la validation en lecture seule) et les vecteurs d\u2019attaque document\u00e9s par Check Point Research via des configurations de projet manipul\u00e9es.<\/p>\n Le sch\u00e9ma est clair : les outils de d\u00e9veloppement assist\u00e9s par IA, capables de lire des fichiers, d\u2019ex\u00e9cuter des commandes et d\u2019acc\u00e9der au r\u00e9seau, constituent des surfaces d\u2019attaque compl\u00e8tes – ind\u00e9pendamment du fournisseur. Le code source fuit\u00e9 montre du moins qu\u2019Anthropic reconna\u00eet le probl\u00e8me : un indicateur CLAUDE_CODE_SUBPROCESS_ENV_SCRUB a \u00e9t\u00e9 introduit pour emp\u00eacher l\u2019h\u00e9ritage des variables d\u2019environnement (et donc potentiellement des cl\u00e9s API) par les sous-processus. Que cet indicateur ait \u00e9t\u00e9 ajout\u00e9 a posteriori confirme toutefois que l\u2019architecture de s\u00e9curit\u00e9 a \u00e9volu\u00e9 de mani\u00e8re r\u00e9active plut\u00f4t que proactive.<\/p>\n Ind\u00e9pendamment de la fuite dans Claude Code, une attaque sur la cha\u00eene d\u2019approvisionnement a frapp\u00e9 le 31 mars 2026 le paquet NPM axios – avec 83 millions de t\u00e9l\u00e9chargements hebdomadaires, l\u2019une des biblioth\u00e8ques JavaScript les plus utilis\u00e9es au monde. Les versions 1.14.1 et 0.30.4 contenaient, via une fausse d\u00e9pendance nomm\u00e9e plain-crypto-js, un cheval de Troie \u00e0 acc\u00e8s distant. L\u2019attaque a \u00e9t\u00e9 active entre 00h21 et 03h29 UTC, avant que npm ne retire le paquet.<\/p>\n Le lien temporel est pertinent : toute personne ayant install\u00e9 ou mis \u00e0 jour Claude Code via npm durant cette fen\u00eatre aurait pu installer la version compromise d\u2019axios comme d\u00e9pendance transitive. Deux probl\u00e8mes ind\u00e9pendants sur la cha\u00eene d\u2019approvisionnement, un m\u00eame \u00e9cosyst\u00e8me, une seule journ\u00e9e. L\u2019attaque sur axios a \u00e9t\u00e9 confirm\u00e9e ind\u00e9pendamment par SANS, Sophos et BleepingComputer, et attribu\u00e9e au groupe UNC1069 (li\u00e9 \u00e0 la Cor\u00e9e du Nord).<\/p>\n Cet incident s\u2019inscrit dans une chronologie que les \u00e9quipes de s\u00e9curit\u00e9 informatique doivent conna\u00eetre : event-stream (2018), ua-parser-js (2021), colors.js (2022), l\u2019attaque sur Astro via Shai-Hulud (2024) et maintenant axios (2026). L\u2019\u00e9cosyst\u00e8me NPM, avec ses cha\u00eenes de d\u00e9pendances profond\u00e9ment imbriqu\u00e9es, reste l\u2019une des surfaces d\u2019attaque les plus critiques du d\u00e9veloppement logiciel. Chaque d\u00e9pendance transitive est un vecteur d\u2019attaque potentiel – et la plupart des \u00e9quipes ne connaissent m\u00eame pas leur arbre complet de d\u00e9pendances.<\/p>\n Cinq mesures concr\u00e8tes \u00e0 tirer de cet incident :<\/p>\n 1. Audit des paquets pour les Source Maps.<\/strong> Ex\u00e9cuter npm pack –dry-run sur tous les paquets publi\u00e9s en interne. V\u00e9rifier si des fichiers .map, des fichiers .env ou d\u2019autres artefacts de d\u00e9bogage sont inclus dans l\u2019artefact. Cela prend 30 secondes par paquet et aurait pu \u00e9viter la fuite de Claude Code.<\/p>\n 2. Approche par liste blanche plut\u00f4t que par liste noire.<\/strong> Dans package.json, d\u00e9finir un champ files comme liste blanche, plut\u00f4t que de compter sur .npmignore (liste noire). Les listes noires oublient souvent les nouveaux types de fichiers. Les listes blanches n\u2019incluent que ce qui est explicitement autoris\u00e9.<\/p>\n 3. V\u00e9rifier la configuration du bundler.<\/strong> Les outils de construction comme Bun, esbuild et webpack g\u00e9n\u00e8rent souvent des Source Maps par d\u00e9faut. Les d\u00e9sactiver explicitement pour les builds de production : –sourcemap=none (Bun), –sourcemap=false (esbuild) ou devtool: false (webpack).<\/p>\n 4. Int\u00e9grer une porte de contr\u00f4le dans CI\/CD.<\/strong> Mettre en place une v\u00e9rification automatis\u00e9e dans le pipeline qui interrompt le build si des fichiers .map, .env ou d\u2019autres motifs d\u2019exclusion sont trouv\u00e9s dans l\u2019artefact de publication. Un contr\u00f4le simple : find dist\/ -name \u00ab\u00a0*.map\u00a0\u00bb -exec false {} +.<\/p>\n 5. Utiliser les attestations de provenance.<\/strong> npm publish –provenance cr\u00e9e une attestation cryptographiquement sign\u00e9e qui lie de fa\u00e7on reproductible le build \u00e0 un commit sp\u00e9cifique et \u00e0 un environnement CI. Cela n\u2019aurait pas emp\u00each\u00e9 l\u2019incident, mais rend toute manipulation tra\u00e7able.<\/p>\n 6. Consid\u00e9rer les outils de d\u00e9veloppement IA comme des surfaces d\u2019attaque.<\/strong> Des outils comme Claude Code, GitHub Copilot et Cursor ont acc\u00e8s au syst\u00e8me de fichiers, ex\u00e9cutent des commandes et communiquent avec des API externes. Ils m\u00e9ritent le m\u00eame audit de s\u00e9curit\u00e9 que tout autre logiciel disposant d\u2019un acc\u00e8s privil\u00e9gi\u00e9. Les six CVE document\u00e9es dans Claude Code montrent : ces outils ne sont pas \u00e0 l\u2019abri des vuln\u00e9rabilit\u00e9s qui sont depuis longtemps des points de contr\u00f4le standards pour toute autre cat\u00e9gorie d\u2019applications.<\/p>\n Non. Anthropic et des analyses de s\u00e9curit\u00e9 ind\u00e9pendantes (Penligent) confirment : aucune donn\u00e9e client, aucune cl\u00e9 API, aucun identifiant. Ce qui a \u00e9t\u00e9 expos\u00e9 est le code applicatif de l\u2019interface en ligne de commande Claude Code – c\u2019est-\u00e0-dire l\u2019architecture, la logique et les drapeaux de fonctionnalit\u00e9s, pas des secrets op\u00e9rationnels.<\/p>\n La fuite de Claude Code \u00e9tait une erreur de configuration involontaire (CWE-215) – pas une attaque cibl\u00e9e. L\u2019incident sur axios le m\u00eame jour \u00e9tait en revanche une attaque intentionnelle sur la cha\u00eene d\u2019approvisionnement avec insertion de code malveillant. Les deux illustrent des facettes diff\u00e9rentes du m\u00eame probl\u00e8me : les paquets NPM comme vecteur d\u2019attaque.<\/p>\n Le risque direct li\u00e9 \u00e0 la fuite via Source Map est faible – le code expos\u00e9 ne contenait aucun secret. Plus critique : toute personne ayant install\u00e9 Claude Code entre 00h21 et 03h29 UTC le 31 mars aurait pu recevoir la version compromise d\u2019axios comme d\u00e9pendance transitive. Un npm audit et une v\u00e9rification de la version d\u2019axios sont recommand\u00e9s.<\/p>\n Non. D\u00e9j\u00e0 en 2025, les versions v0.2.8 et v0.2.28 de Claude Code contenaient des fichiers Source Map. Quelques jours avant cette fuite, environ 3 000 fichiers internes \u00e9taient apparus dans un cache publiquement accessible – dont des d\u00e9tails sur un mod\u00e8le IA non publi\u00e9. Trois incidents avec la m\u00eame cause fondamentale (erreur dans .npmignore) sugg\u00e8rent un probl\u00e8me syst\u00e9mique dans le pipeline de publication.<\/p>\n Quatre \u00e9tapes : 1) npm pack –dry-run affiche tous les fichiers qui seraient inclus dans le paquet. 2) Configurer le champ files de package.json comme liste blanche. 3) D\u00e9sactiver les Source Maps du bundler pour la production. 4) Int\u00e9grer une porte CI qui interrompt le build si des fichiers .map sont pr\u00e9sents dans l\u2019artefact.<\/p>\n Source de l’image : Pexels \/ Towfiqu barbhuiya (px:11391947)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Une r\u00e8gle d’exclusion manquante dans le pipeline de construction a r\u00e9v\u00e9l\u00e9 le 31 mars 2026 l’int\u00e9gralit\u00e9 du code en production de Claude Code d’Anthropic. 512 000 lignes de TypeScript, empaquet\u00e9es dans un fichier Source Map de 59,8 Mo inclus dans le paquet NPM public. Le m\u00eame jour, une attaque ind\u00e9pendante sur […]","protected":false},"author":50,"featured_media":6449,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"source map","_yoast_wpseo_title":"Source Map dans un paquet NPM : comment Anthropic a expos\u00e9 512 000 lignes de cod","_yoast_wpseo_metadesc":"Source Map NPM : \u00e9vitez les fuites de code avec une r\u00e8gle d\u2019exclusion. D\u00e9couvrez l\u2019erreur critique d\u2019Anthropic et prot\u00e9gez votre production d\u00e8s maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-6451-2","post_id-6451","anthropic-claude-code-npm-source-map-leak-supply-chain","source-map-dans-un-paquet-npm-comment-anthropic-a-expose-512-000-lignes-de-code-en-production"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-8630","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":12,"wpml_language":"fr","wpml_translation_of":6451,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8630"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8630\/revisions"}],"predecessor-version":[{"id":10572,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8630\/revisions\/10572"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/6449"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L’essentiel<\/h2>\n
\n
L\u2019incident<\/h2>\n
Les Source Maps, vecteur d\u2019attaque sous-estim\u00e9<\/h2>\n
\n – R\u00e9action de la communaut\u00e9 sur Hacker News, 31.03.2026<\/cite>\n<\/p><\/blockquote>\nClassification CWE et vuln\u00e9rabilit\u00e9s connues<\/h2>\n
Le m\u00eame jour : l\u2019attaque sur la cha\u00eene d\u2019approvisionnement d\u2019axios<\/h2>\n
Ce que les \u00e9quipes IT doivent v\u00e9rifier d\u00e8s maintenant<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Des donn\u00e9es clients ou des cl\u00e9s API ont-elles \u00e9t\u00e9 expos\u00e9es ?<\/h3>\n
En quoi cet incident diff\u00e8re-t-il d\u2019une attaque sur la cha\u00eene d\u2019approvisionnement ?<\/h3>\n
Quel risque existe-t-il pour les utilisateurs de Claude Code ?<\/h3>\n
\u00c9tait-ce le premier incident de ce type chez Anthropic ?<\/h3>\n
Comment v\u00e9rifier mes propres paquets NPM ?<\/h3>\n
Lectures recommand\u00e9es par la r\u00e9daction<\/h2>\n
\n
Plus d\u2019informations depuis le r\u00e9seau MBF Media<\/h2>\n
\n