Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025.

• Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026.

• L’enquête démarre après la détection d’une exécution AppleScript par un compte à privilèges élevés. L’utilisateur recherchait « PagerDuty macOS » et a cliqué sur un dépôt GitHub malveillant (créé le 24/09/2025) qui renvoyait vers une page externe (hci-outdoors[.]com/salt-engine[.]html). La page applique un leurre « ClickFix » incitant à coller une commande Terminal: une partie visible inoffensive (echo) suivie, après &&, d’un bloc Base64 qui télécharge le binaire via curl.

• Chaîne d’infection en 3 étapes:

  • Stage 1 — Loader: commande Base64 lançant zsh pour télécharger un payload depuis le C2 securityfenceandwelding[.]com, avec livraison conditionnelle (user-agent, en-têtes spécifiques).
  • Stage 2 — Dropper: second script encodé (Base64 + gunzip) utilisant AppleScript pour récupérer du code distant via un token et une clé API.
  • Stage 3 — MacSync Stealer: collecte des données sensibles, les regroupe dans /tmp/osalogging.zip et les exfiltre vers le C2.

• Impact et cibles de collecte: navigateurs Chromium/Gecko (cookies, auto-remplissage), Trousseau macOS et gestionnaires de mots de passe, fichiers de configuration cloud/dev (.aws, .kube) et historiques de shell, portefeuilles crypto, plus un profil système détaillé incluant des identifiants en clair.

• Échelle et évasion: 39 dépôts supplémentaires identifiés, dont 24 actifs mi-janvier 2026; activité observée depuis août 2025, avec de nouveaux dépôts en janvier 2026. Tactiques d’évasion: dépôts README-only (pas de binaire à scanner), identités distribuées sur GitHub, ciblage niche (ex. VariCAD) et expansion cross-plateforme vers Windows.

• TTPs clés observés:

  • Empoisonnement SEO pour diriger vers des dépôts GitHub frauduleux et des pages GitHub Pages.
  • Leurre ClickFix incitant à exécuter une commande Terminal contenant une charge Base64 cachée.
  • Abus d’AppleScript, curl, zsh, et livraison conditionnelle côté serveur.
  • Chaîne en plusieurs étapes (loader → dropper → stealer) et exfiltration vers C2.
  • Dépôts README-only, identités distribuées et ciblage macOS/Windows.

• IOCs (Incident PagerDuty) 🧩:

  • URLs/pages:
    • https[://]hci-outdoors.com/salt-engine.html
    • https[://]github.com/PagerDuty-Mac
    • https[://]venskoske430[.]github.io/.github/
    • https[://]cotlesgengeral[.]com/
    • http[://]securityfenceandwelding[.]com/curl/79fbe2e4cccedda99204eeeeab1f4cb93ff81c1d08f2f28dfb1db80c187e1d43
  • IP: 217.69.11[.]138
  • Fichier/chemin: /tmp/osalogging.zip

• Dépôts GitHub malveillants (actifs à janvier 2026) 📦:

  • hxxps[://]github[.]com/Bartender-Mac-License-Full-Software/Bartender-Mac-License-Full-Software
  • hxxps[://]github[.]com/amirhosseinkab/varicad-activation-toolkit
  • hxxps[://]github[.]com/Bouiz-sm/artisto-premium-access-unlocked
  • hxxps[://]github[.]com/edewffwf/anyrec-screen-recorder-ultimate-edition
  • hxxps[://]github[.]com/gimmore/designevo-unlocked-resources
  • hxxps[://]github[.]com/Gradowskiyt/physical-audio-modus-134-release-hub
  • hxxps[://]github[.]com/KenTechy101/3d-coat-v014-unlock-resources
  • hxxps[://]github[.]com/mistborn-ash/blue3-organ-soundscape-sharer
  • hxxps[://]github[.]com/Muhedon/crossover-mac-24-2-2-unlocked-edition
  • hxxps[://]github[.]com/notrishi-gthb/descript-premium-unlocked-resources
  • hxxps[://]github[.]com/SsoulMoney/imaginando-k7d-unlocked-edition
  • hxxps[://]github[.]com/IzemyNewEra/mac-premium-fonts-hub
  • hxxps[://]github[.]com/noorasd1/boom3d-mac-premium-edition
  • hxxps[://]github[.]com/piput09/babelblox-mac-premium-edition
  • hxxps[://]github[.]com/Chirobi123/macdive-macos-unlocked-edition
  • hxxps[://]github[.]com/Henry9992/photomillx-macos-unlocked
  • hxxps[://]github[.]com/MAmmarD03/atv-flash-silver-mac-edition
  • hxxps[://]github[.]com/Xabisobavuma6/xray-macos-unlocked-edition
  • hxxps[://]github[.]com/YassineAr123/vallum-macos-unlocked-edition
  • hxxps[://]github[.]com/MatiasNova/diptic-mac-edition-share
  • hxxps[://]github[.]com/jameslol42/absolute-farkle-mac-edition
  • hxxps[://]github[.]com/Alankit6668/mac-wallet-vault
  • hxxps[://]github[.]com/Irdk1242s/corelcad-mac-resource-hub
  • hxxps[://]github[.]com/KingFinalDay/soundiron-axe-machina-keygen-patch-tools

• Domaines de livraison de malware 🚚:

  • hci-outdoors[.]com
  • github[.]macos-developer[.]com
  • macfyno[.]com
  • mac-semen[.]com

• Serveurs C2 🎯:

  • arsenmarkaruyn[.]com
  • cotlesgengeral[.]com
  • securityfenceandwelding[.]com

Cet article est une analyse de menace visant à documenter une campagne active, détailler ses modes opératoires, ses impacts, et partager des IOCs/TTPs pour la communauté.

🧠 TTPs et IOCs détectés

TTP

[‘Empoisonnement SEO pour diriger vers des dépôts GitHub frauduleux et des pages GitHub Pages’, ‘Leurre ClickFix incitant à exécuter une commande Terminal contenant une charge Base64 cachée’, ‘Abus d’AppleScript, curl, zsh, et livraison conditionnelle côté serveur’, ‘Chaîne en plusieurs étapes (loader → dropper → stealer) et exfiltration vers C2’, ‘Dépôts README-only, identités distribuées et ciblage macOS/Windows’]

IOC

{‘urls’: [‘https://hci-outdoors.com/salt-engine.html’, ‘https://github.com/PagerDuty-Mac’, ‘https://venskoske430.github.io/.github/’, ‘https://cotlesgengeral.com/’, ‘http://securityfenceandwelding.com/curl/79fbe2e4cccedda99204eeeeab1f4cb93ff81c1d08f2f28dfb1db80c187e1d43’], ‘ip’: [‘217.69.11.138’], ‘file_path’: [’/tmp/osalogging.zip’], ‘malicious_github_repos’: [‘https://github.com/Bartender-Mac-License-Full-Software/Bartender-Mac-License-Full-Software’, ‘https://github.com/amirhosseinkab/varicad-activation-toolkit’, ‘https://github.com/Bouiz-sm/artisto-premium-access-unlocked’, ‘https://github.com/edewffwf/anyrec-screen-recorder-ultimate-edition’, ‘https://github.com/gimmore/designevo-unlocked-resources’, ‘https://github.com/Gradowskiyt/physical-audio-modus-134-release-hub’, ‘https://github.com/KenTechy101/3d-coat-v014-unlock-resources’, ‘https://github.com/mistborn-ash/blue3-organ-soundscape-sharer’, ‘https://github.com/Muhedon/crossover-mac-24-2-2-unlocked-edition’, ‘https://github.com/notrishi-gthb/descript-premium-unlocked-resources’, ‘https://github.com/SsoulMoney/imaginando-k7d-unlocked-edition’, ‘https://github.com/IzemyNewEra/mac-premium-fonts-hub’, ‘https://github.com/noorasd1/boom3d-mac-premium-edition’, ‘https://github.com/piput09/babelblox-mac-premium-edition’, ‘https://github.com/Chirobi123/macdive-macos-unlocked-edition’, ‘https://github.com/Henry9992/photomillx-macos-unlocked’, ‘https://github.com/MAmmarD03/atv-flash-silver-mac-edition’, ‘https://github.com/Xabisobavuma6/xray-macos-unlocked-edition’, ‘https://github.com/YassineAr123/vallum-macos-unlocked-edition’, ‘https://github.com/MatiasNova/diptic-mac-edition-share’, ‘https://github.com/jameslol42/absolute-farkle-mac-edition’, ‘https://github.com/Alankit6668/mac-wallet-vault’, ‘https://github.com/Irdk1242s/corelcad-mac-resource-hub’, ‘https://github.com/KingFinalDay/soundiron-axe-machina-keygen-patch-tools’], ‘malware_delivery_domains’: [‘hci-outdoors.com’, ‘github.macos-developer.com’, ‘macfyno.com’, ‘mac-semen.com’], ‘c2_servers’: [‘arsenmarkaruyn.com’, ‘cotlesgengeral.com’, ‘securityfenceandwelding.com’]}

🔗 Source originale : https://daylight.ai/blog/macsync-stealer-returns-seo-poisoning