Le 11 mai, Cryptopolitan a rapporté que l’équipe de recherche sécurité de Microsoft Defender a publié les résultats d’une enquête, révélant que des attaquants publiaient, à partir de la fin de 2025, sur des plateformes comme Medium et Craft de fausses guides de dépannage macOS, afin d’inciter les utilisateurs à exécuter des commandes malveillantes dans le terminal, entraînant l’installation de logiciels malveillants capables de voler des clés de portefeuilles cryptographiques, des données iCloud et des mots de passe enregistrés dans les navigateurs.
Mécanisme d’attaque : ClickFix contourne Gatekeeper sur macOS
D’après le rapport de l’équipe de recherche sécurité de Microsoft Defender, les attaquants utilisent une technique d’ingénierie sociale appelée ClickFix : publier sur Medium, Craft et Squarespace des guides de dépannage macOS se faisant passer pour des procédures permettant de libérer de l’espace disque ou de corriger des erreurs système, afin d’amener les utilisateurs à copier des commandes malveillantes et à les coller dans le Terminal macOS ; une fois la commande exécutée, le logiciel malveillant est alors téléchargé et lancé automatiquement.
D’après le rapport de Microsoft, cette méthode contourne le mécanisme de sécurité macOS Gatekeeper, car Gatekeeper vérifie les signatures de code et effectue des validations notariales pour l’exécution d’applications ouvertes via Finder, mais l’exécution de commandes directement dans le Terminal par l’utilisateur n’est pas soumise à cette étape de vérification. Les chercheurs ont également constaté que les attaquants exploitent curl, osascript et d’autres outils natifs de macOS pour exécuter du code malveillant directement en mémoire (attaque sans fichiers), rendant la détection plus difficile pour les outils antivirus standards.
Familles de logiciels malveillants, périmètre de vol et mécanismes spécifiques
D’après le rapport de Microsoft, cette activité d’attaque implique trois familles de logiciels malveillants (AMOS, Macsync, SHub Stealer) et trois types de programmes d’installation (Loader, Script, Helper), et vise des données telles que :
Clés de portefeuilles cryptographiques : Exodus, Ledger, Trezor
Identifiants de compte : iCloud, Telegram
Mots de passe enregistrés dans le navigateur : Chrome, Firefox
Fichiers privés et photos : des fichiers locaux de moins de 2 MB
Après l’installation, le logiciel malveillant affiche de fausses boîtes de dialogue, demandant à l’utilisateur de saisir le mot de passe système afin d’installer un « outil auxiliaire » ; si l’utilisateur saisit le mot de passe, l’attaquant obtient alors l’accès complet aux fichiers et aux paramètres du système. Le rapport de Microsoft précise en outre qu’à certaines occasions, l’attaquant supprime les applications légitimes Trezor Suite, Ledger Wallet et Exodus, puis les remplace par des versions implantant des chevaux de Troie afin de surveiller les transactions et de voler les fonds. De plus, les programmes chargés par le logiciel malveillant incluent un commutateur d’arrêt : s’il détecte une disposition de clavier en russe, le logiciel malveillant s’arrête automatiquement.
Activités d’attaque associées et mesures de protection d’Apple
D’après l’enquête menée par des chercheurs de ANY.RUN, le groupe Lazarus a lancé une campagne de pirates baptisée « Mach-O Man », qui utilise des techniques similaires à ClickFix, en visant principalement des entreprises de technologie financière et de cryptomonnaies utilisant macOS comme système d’exploitation, via des attaques par fausses invitations à des réunions.
Cryptopolitan a également rapporté que le groupe de hackers nord-coréen Famous Chollima utilise l’IA pour générer du code, en injectant des paquets npm malveillants dans des projets de transactions de cryptomonnaies ; le logiciel malveillant adopte une architecture d’obfuscation en deux couches, volant des données de portefeuilles et des informations confidentielles du système.
D’après un rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection permettant d’empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes.
Questions fréquentes
À partir de quand l’activité d’attaque ClickFix sur macOS révélée par Microsoft Defender a-t-elle commencé, et sur quelles plateformes a-t-elle été publiée ?
D’après les rapports de l’équipe de recherche sécurité de Microsoft Defender et de Cryptopolitan du 11 mai 2026, l’activité d’attaque s’est activée à partir de la fin de 2025 ; les attaquants ont publié de fausses guides de dépannage macOS sur Medium, Craft et Squarespace, incitant les utilisateurs de Mac à exécuter des commandes Terminal malveillantes.
Cette activité d’attaque vise quels portefeuilles cryptographiques et quels types de données ?
D’après le rapport de Microsoft Defender, un logiciel malveillant (AMOS, Macsync, SHub Stealer) peut voler des clés de portefeuilles Exodus, Ledger et Trezor, des données de comptes iCloud et Telegram, ainsi que des noms d’utilisateur et des mots de passe enregistrés dans Chrome et Firefox.
Quelles mesures de protection Apple a-t-elle déployées contre ce type d’attaque ?
D’après le rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection visant à empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes, afin de réduire le taux de réussite des attaques d’ingénierie sociale de type ClickFix.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La FSI de Corée du Sud lance un outil de vérification de la sécurité des contrats intelligents, fait avancer trois projets
Selon Edaily, l’Institut de Sécurité Financière de Corée du Sud (FSI) a annoncé aujourd’hui le développement d’un outil dédié de vérification de la sécurité des smart contracts et avance trois grandes initiatives, dont la construction d’un système de vérification des smart contracts et la formation de talents dans les actifs numériques. L’outil de vérification détectera automatiquement les principales vulnérabilités des smart contracts utilisés pour les titres tokenisés, les stablecoins et d’aut
GateNewsIl y a 1h
Le développeur de Wagyu nie une arnaque de type rug pull sur XMR1 et clarifie les retraits via Terminal
D’après Foresight News, le développeur de Wagyu, PerpetualCow, a précisé que les détenteurs du token XMR1 peuvent retirer des fonds via Terminal plutôt que l’interface inter-chaînes historique, réfutant ainsi les récentes allégations de Rug Pull. Le développeur a déclaré qu’aucun utilisateur n’a signalé d’échecs de retrait, et que l’interface de swap indique déjà la méthode de retrait correcte. Des membres de la communauté avaient auparavant exprimé des inquiétudes : Wagyu ressemblerait à un Rug
GateNewsIl y a 2h
Le déploiement Renegade V1 sur Arbitrum est attaqué, entraînant une perte de 209 000 $ ; le hacker white hat remet 190 000 $
D’après la déclaration officielle de Renegade sur X, le déploiement legacy V1 d’Arbitrum du protocole a été attaqué tôt ce matin (11 mai), entraînant des pertes d’environ 209 000 dollars. Un hacker « white hat » a restitué environ 190 000 dollars, et l’équipe a confirmé que tous les utilisateurs concernés seront intégralement indemnisés. L’équipe a confirmé que la vulnérabilité n’existait que dans le déploiement V1 d’Arbitrum ; les déploiements V1 Base, V2 Arbitrum et V2 Base restent sécurisés.
GateNewsIl y a 3h
USDT0 annonce un mécanisme de validation 3/3 et un programme de bug bounty $6M à la suite de l’incident Kelp
D’après Foresight News, USDT0, le protocole d’interopérabilité des actifs de Tether, a annoncé des détails sur son architecture de sécurité à la suite de l’incident Kelp. Le protocole utilise un réseau propriétaire de valideurs décentralisés (DVN) disposant de droits de veto sur les messages et exige trois validateurs indépendants issus de bases de code différentes pour parvenir à un consensus 3/3 avant que les messages inter-chaînes ne soient exécutés. Les nœuds de validation actuels incluent l
GateNewsIl y a 4h
Microsoft découvre une campagne de phishing sur macOS visant les portefeuilles Exodus, Ledger et Trezor depuis la fin 2025
D’après l’équipe de recherche en sécurité de Microsoft, depuis la fin 2025, des attaquants distribuent de fausses guides de dépannage de macOS sur des plateformes dont Medium, Craft et Squarespace afin de tromper les utilisateurs pour qu’ils exécutent des commandes de terminal malveillantes. Les commandes téléchargent et exécutent un logiciel malveillant conçu pour voler les clés de portefeuilles de cryptomonnaies depuis Exodus, Ledger et Trezor, ainsi que les données iCloud et les mots de passe
GateNewsIl y a 4h
LayerZero s’excuse publiquement concernant la réponse à l’exploit de Kelp DAO, admet une faute d’un seul vérificateur dans le DVN
Selon LayerZero, le protocole a présenté une excuse publique vendredi pour sa gestion de l’exploit du 18 avril qui a siphonné 292 millions de dollars en rsETH depuis le pont inter-chaînes de Kelp DAO, marquant un changement de ton significatif par rapport à son précédent post-mortem. LayerZero a reconnu que son réseau de vérification décentralisé (Decentralized Verifier Network, DVN) ne devait pas servir de seul vérificateur pour les transactions de grande valeur, déclarant : « Nous avons commis
GateNewsIl y a 5h
