MacOS

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dépôts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tête des résultats de recherche, et LastPass partage des IoCs et mène des actions de retrait auprès de GitHub. 🚨 Détails clés: deux pages GitHub usurpant LastPass ont été créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrées avec le nom de l’entreprise et des termes liés à macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodée Base64 qui décode en bonoud[.]com/get3/install.sh, télécharge un premier payload, puis un binaire “Update” dans le répertoire Temp, qui est en réalité Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

Source: Objective-See — Le chercheur en sécurité Patrick Wardle publie une analyse montrant une vulnérabilité 0‑day dans les plugins Spotlight de macOS permettant de contourner TCC et d’exfiltrer des données protégées, toujours non corrigée dans macOS Tahoe (26). 🛑 La faille exploite un bug du mécanisme de notifications Darwin identifié depuis 2015. Des plugins Spotlight malveillants, bien que fortement sandboxés, peuvent lire des fichiers protégés par TCC (dont des bases liées à Apple Intelligence et le knowledgeC.db) puis exfiltrer leur contenu en l’encodant dans les noms de notifications Darwin, accessibles à un processus externe à l’écoute. ...

Selon Jamf Threat Labs, ChillyHell est un backdoor macOS modulaire sophistiqué, lié initialement à l’acteur UNC4487 ciblant des responsables ukrainiens, et ayant réussi à passer la notarisation Apple (toujours valide depuis 2021). L’analyse met en lumière des capacités avancées de persistance, de communication C2 (DNS/HTTP), de brute force de mots de passe et d’évasion via timestomping, soulevant des questions sur la confiance accordée à la signature/notarisation de code. Points clés techniques: ...

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). • Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns. ...

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...

Selon CrowdStrike, entre juin et août 2025, la plateforme Falcon a empêché une campagne de malware visant plus de 300 environnements clients, opérée par l’acteur eCrime COOKIE SPIDER et déployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). • Le mode opératoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes à exécuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient déjà exploité cette méthode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon Moonlock, une campagne attribuée à des acteurs nord-coréens exploite des stealer malware visant macOS pour collecter des identités et contourner les vérifications d’antécédents, afin d’infiltrer des entreprises américaines comme « faux » travailleurs IT. Le dossier met en perspective ces activités avec de récents raids du FBI contre des « laptop farms », soulignant le lien entre cybercriminalité, espionnage et contournement des sanctions. La menace décrite repose sur l’ingénierie sociale comme vecteur principal (faux recrutements, arnaques de type ClickFix), plutôt que sur des exploits sophistiqués. Les identifiants et données personnelles volés sont réutilisés pour dépasser les contrôles RH et accéder à des postes sensibles, participant à des objectifs d’espionnage et de contournement des sanctions 🕵️‍♂️. ...

L’Internet Storm Center rapporte qu’Apple a récemment publié des mises à jour pour iOS, iPadOS, macOS, watchOS, tvOS, et visionOS. Ces mises à jour incluent des correctifs pour un total de 89 vulnérabilités. Bien que la plupart des vulnérabilités soient liées à des problèmes de déni de service et de corruption de mémoire, certaines concernent des escalades de privilèges et des évasions de sandbox. Les descriptions fournies par Apple restent vagues, mais certaines vulnérabilités notables incluent la possibilité pour une application de lire un identifiant de périphérique persistant (CVE-2025-24220) ou d’exécuter du code arbitraire en dehors de son sandbox (CVE-2025-24119). ...

Microsoft Threat Intelligence a découvert une vulnérabilité critique sur macOS, identifiée sous le nom de CVE-2025-31199 ou ‘Sploitlight’. Cette faille permet aux attaquants de contourner les protections Transparency, Consent, and Control (TCC) en utilisant des plugins Spotlight malveillants. La vulnérabilité permet un accès non autorisé à des fichiers sensibles dans des répertoires protégés tels que Downloads et Pictures. Plus grave encore, elle peut extraire des données privées mises en cache par Apple Intelligence, y compris des données de géolocalisation, des métadonnées de photos, des données de reconnaissance faciale et l’historique de recherche. ...