Le 11 mai, Cryptopolitan a rapporté que l’équipe de recherche sécurité de Microsoft Defender a publié les résultats d’une enquête, révélant que des attaquants publiaient, à partir de la fin de 2025, sur des plateformes comme Medium et Craft de fausses guides de dépannage macOS, afin d’inciter les utilisateurs à exécuter des commandes malveillantes dans le terminal, entraînant l’installation de logiciels malveillants capables de voler des clés de portefeuilles cryptographiques, des données iCloud et des mots de passe enregistrés dans les navigateurs.
Mécanisme d’attaque : ClickFix contourne Gatekeeper sur macOS
D’après le rapport de l’équipe de recherche sécurité de Microsoft Defender, les attaquants utilisent une technique d’ingénierie sociale appelée ClickFix : publier sur Medium, Craft et Squarespace des guides de dépannage macOS se faisant passer pour des procédures permettant de libérer de l’espace disque ou de corriger des erreurs système, afin d’amener les utilisateurs à copier des commandes malveillantes et à les coller dans le Terminal macOS ; une fois la commande exécutée, le logiciel malveillant est alors téléchargé et lancé automatiquement.
D’après le rapport de Microsoft, cette méthode contourne le mécanisme de sécurité macOS Gatekeeper, car Gatekeeper vérifie les signatures de code et effectue des validations notariales pour l’exécution d’applications ouvertes via Finder, mais l’exécution de commandes directement dans le Terminal par l’utilisateur n’est pas soumise à cette étape de vérification. Les chercheurs ont également constaté que les attaquants exploitent curl, osascript et d’autres outils natifs de macOS pour exécuter du code malveillant directement en mémoire (attaque sans fichiers), rendant la détection plus difficile pour les outils antivirus standards.
Familles de logiciels malveillants, périmètre de vol et mécanismes spécifiques
D’après le rapport de Microsoft, cette activité d’attaque implique trois familles de logiciels malveillants (AMOS, Macsync, SHub Stealer) et trois types de programmes d’installation (Loader, Script, Helper), et vise des données telles que :
Clés de portefeuilles cryptographiques : Exodus, Ledger, Trezor
Identifiants de compte : iCloud, Telegram
Mots de passe enregistrés dans le navigateur : Chrome, Firefox
Fichiers privés et photos : des fichiers locaux de moins de 2 MB
Après l’installation, le logiciel malveillant affiche de fausses boîtes de dialogue, demandant à l’utilisateur de saisir le mot de passe système afin d’installer un « outil auxiliaire » ; si l’utilisateur saisit le mot de passe, l’attaquant obtient alors l’accès complet aux fichiers et aux paramètres du système. Le rapport de Microsoft précise en outre qu’à certaines occasions, l’attaquant supprime les applications légitimes Trezor Suite, Ledger Wallet et Exodus, puis les remplace par des versions implantant des chevaux de Troie afin de surveiller les transactions et de voler les fonds. De plus, les programmes chargés par le logiciel malveillant incluent un commutateur d’arrêt : s’il détecte une disposition de clavier en russe, le logiciel malveillant s’arrête automatiquement.
Activités d’attaque associées et mesures de protection d’Apple
D’après l’enquête menée par des chercheurs de ANY.RUN, le groupe Lazarus a lancé une campagne de pirates baptisée « Mach-O Man », qui utilise des techniques similaires à ClickFix, en visant principalement des entreprises de technologie financière et de cryptomonnaies utilisant macOS comme système d’exploitation, via des attaques par fausses invitations à des réunions.
Cryptopolitan a également rapporté que le groupe de hackers nord-coréen Famous Chollima utilise l’IA pour générer du code, en injectant des paquets npm malveillants dans des projets de transactions de cryptomonnaies ; le logiciel malveillant adopte une architecture d’obfuscation en deux couches, volant des données de portefeuilles et des informations confidentielles du système.
D’après un rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection permettant d’empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes.
Questions fréquentes
À partir de quand l’activité d’attaque ClickFix sur macOS révélée par Microsoft Defender a-t-elle commencé, et sur quelles plateformes a-t-elle été publiée ?
D’après les rapports de l’équipe de recherche sécurité de Microsoft Defender et de Cryptopolitan du 11 mai 2026, l’activité d’attaque s’est activée à partir de la fin de 2025 ; les attaquants ont publié de fausses guides de dépannage macOS sur Medium, Craft et Squarespace, incitant les utilisateurs de Mac à exécuter des commandes Terminal malveillantes.
Cette activité d’attaque vise quels portefeuilles cryptographiques et quels types de données ?
D’après le rapport de Microsoft Defender, un logiciel malveillant (AMOS, Macsync, SHub Stealer) peut voler des clés de portefeuilles Exodus, Ledger et Trezor, des données de comptes iCloud et Telegram, ainsi que des noms d’utilisateur et des mots de passe enregistrés dans Chrome et Firefox.
Quelles mesures de protection Apple a-t-elle déployées contre ce type d’attaque ?
D’après le rapport, Apple a ajouté, dans macOS 26.4, un mécanisme de protection visant à empêcher le collage dans le Terminal macOS de commandes identifiées comme potentiellement malveillantes, afin de réduire le taux de réussite des attaques d’ingénierie sociale de type ClickFix.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le contrat v1 de Huma Finance exploité sur Polygon perd 101 400 USDC
Selon Foresight News, le contrat legacy v1 de Huma Finance déployé sur Polygon a été exploité par des attaquants aujourd’hui, entraînant une perte de 101 400 USDC. Le protocole a indiqué que les fonds des utilisateurs restent inchangés et que son token PST n’est pas affecté. Le système v2 sur Solana, une reconstruction complète, n’est pas vulnérable à cet exploit. Huma Finance a suspendu entièrement les opérations v1, comme elle l’avait prévu précédemment pour fermer progressivement les pools de
GateNewsIl y a 38m
Le portefeuille Sigma du trader a de nouveau été vidé ; un deuxième portefeuille a été entièrement vidé en six mois, $200K perdu par un autre utilisateur
D'après Odaily, un trader A (@missoralways) a déclaré que deux de ses portefeuilles connectés à Sigma avaient été vidés récemment, marquant la deuxième compromission de portefeuille en l'espace de six mois. Le trader a indiqué qu'il avait auparavant stocké des actifs à sept chiffres dans Sigma sans aucun problème de sécurité, mais que les deux vidages sont survenus lorsque les soldes des portefeuilles sont passés sous 10 000 dollars. De plus, un autre utilisateur a perdu environ 200 000 dollars
GateNewsIl y a 4h
Arkham Intelligence révèle que des comptes de fraude d’investissement représentent 49 % des crimes crypto, et non des piratages, le 11 mai
D’après Arkham Intelligence, le 11 mai, la plateforme d’analytique blockchain a publié un rapport révélant que la fraude d’investissement représentait 49 % des pertes dues aux crimes liés aux cryptomonnaies en 2025. En s’appuyant sur des données du FBI Internet Crime Complaint Center, le rapport indique que les pertes liées aux crimes crypto aux États-Unis ont dépassé 11 milliards de dollars en 2025. Le rapport souligne que la criminalité liée aux actifs numériques s’étend désormais à plusieurs
GateNewsIl y a 6h
SlowMist découvre une extension Chrome MV3 malveillante ciblant les utilisateurs du portefeuille TRON le 11 mai
D’après le système de surveillance de sécurité MistEye de SlowMist, une extension malveillante Chrome MV3 cible les utilisateurs de portefeuilles TRON avec des attaques de phishing conçues pour voler des phrases de seed, des clés privées, des fichiers de keystore et des mots de passe. L’extension utilise une obfuscation Unicode et l’usurpation de marque pour se déguiser en plugin officiel, puis charge, à l’installation, une page distante d’ouverture dans un iframe afin de tromper les utilisateur
GateNewsIl y a 7h
Le proxy de trésorerie du workspace d’Ink Finance sur Polygon a été attaqué et a perdu 140 000 dollars
Selon ChainCatcher, le proxy de la trésorerie du Workspace d’Ink Finance sur Polygon a été attaqué il y a quelques minutes, entraînant des pertes d’environ 140 000 dollars.
GateNewsIl y a 8h
L’attaquant de TrustedVolumes transfère $278K de fonds volés le 11 mai
D’après la surveillance de PeckShield, l’attaquant de TrustedVolumes a transféré et blanchi 278 000 dollars de fonds volés au 11 mai. L’attaquant a déposé 10,2 ETH (23 600 dollars) sur Tornado Cash, converti 110 ETH (250 000 dollars) en Bitcoin via THORChain, et tenté de déposer 0,5 ETH sur Railgun avant de retirer. TrustedVolumes a subi une perte totale d’environ 6,7 millions de dollars lors de l’attaque du 7 mai.
GateNewsIl y a 9h
