macOS LOTL : armement des primitives natives pour mouvement latéral et exécution

🔍 Contexte PubliĂ© le 21 avril 2026 par Cisco Talos Intelligence, cet article de recherche documente des techniques Living-Off-The-Land (LOTL) natives Ă  macOS, comblant un manque documentaire significatif par rapport aux Ă©quivalents Windows. Il s’adresse aux dĂ©fenseurs et chercheurs en sĂ©curitĂ© opĂ©rant dans des environnements macOS d’entreprise. 🎯 Surface d’attaque ciblĂ©e macOS reprĂ©sente dĂ©sormais plus de 45 % des postes en entreprise, notamment chez les dĂ©veloppeurs, ingĂ©nieurs DevOps et administrateurs systĂšmes. Ces machines constituent des points de pivot critiques vers des dĂ©pĂŽts de code source, des credentials cloud et des clĂ©s SSH de production. ...

22 avril 2026 Â· 3 min

Sapphire Sleet : campagne macOS sophistiquée ciblant cryptomonnaies via ingénierie sociale

🔍 Contexte Le 16 avril 2026, la Microsoft Defender Security Research Team publie une analyse technique dĂ©taillĂ©e d’une campagne macOS attribuĂ©e Ă  Sapphire Sleet, un acteur Ă©tatique nord-corĂ©en actif depuis au moins mars 2020, ciblant principalement le secteur financier, les cryptomonnaies, le capital-risque et les plateformes blockchain. 🎯 Vecteur d’accĂšs initial L’attaque repose sur de l’ingĂ©nierie sociale et non sur des vulnĂ©rabilitĂ©s logicielles. L’acteur crĂ©e de faux profils de recruteurs sur les rĂ©seaux sociaux et professionnels, engage les cibles dans des conversations sur des opportunitĂ©s d’emploi, puis les dirige vers le tĂ©lĂ©chargement d’un fichier malveillant nommĂ© Zoom SDK Update.scpt — un AppleScript compilĂ© s’ouvrant dans Script Editor, application Apple de confiance. ...

16 avril 2026 Â· 6 min

Compromission de la bibliothĂšque Axios : OpenAI expose son certificat de signature macOS

🔍 Contexte Le 10 avril 2026, OpenAI a publiĂ© un post-mortem officiel concernant un incident de sĂ©curitĂ© liĂ© Ă  la compromission de la bibliothĂšque tierce Axios, survenu dans le cadre d’une attaque de la chaĂźne d’approvisionnement logicielle plus large touchant l’industrie. 📅 Chronologie 31 mars 2026 (UTC) : La bibliothĂšque Axios (version 1.14.1) est compromise dans le cadre d’une attaque supply chain. Un workflow GitHub Actions utilisĂ© par OpenAI dans le processus de signature des applications macOS tĂ©lĂ©charge et exĂ©cute cette version malveillante d’Axios. Ce workflow avait accĂšs Ă  un certificat de signature de code et au matĂ©riel de notarisation utilisĂ©s pour signer les applications macOS d’OpenAI. 10 avril 2026 : Publication du post-mortem par OpenAI. 8 mai 2026 : RĂ©vocation effective du certificat compromis et fin du support des anciennes versions. 🎯 Applications impactĂ©es Les applications macOS suivantes Ă©taient signĂ©es avec le certificat potentiellement exposĂ© : ...

12 avril 2026 Â· 3 min

ClickFix macOS : Script Editor exploité via applescript pour livrer Atomic Stealer

🔍 Contexte PubliĂ© le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, dĂ©couverte via des dĂ©tections comportementales de la plateforme Jamf Protect. 🎯 Technique d’attaque Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur Ă  coller des commandes dans Terminal, cette variante exploite le schĂ©ma URL applescript:// pour dĂ©clencher directement l’ouverture de Script Editor depuis le navigateur. ...

9 avril 2026 Â· 2 min

Attaque supply chain : 3 extensions VSCode IoliteLabs ciblent les développeurs Solidity avec backdoor

🔍 Contexte Analyse publiĂ©e le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain dĂ©couverte sur le VS Code Marketplace. Trois extensions publiĂ©es par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont Ă©tĂ© simultanĂ©ment mises Ă  jour en version 0.1.8 le 25 mars 2026, aprĂšs ĂȘtre restĂ©es dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinĂ©es. 🎯 Vecteur d’attaque L’attaquant a compromis le compte Ă©diteur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dĂ©pĂŽt GitHub source. La version 0.1.8 a Ă©tĂ© publiĂ©e directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrĂ©e de l’extension (extension.js) mais injectĂ© dans une copie altĂ©rĂ©e de la dĂ©pendance npm lĂ©gitime pako (node_modules/pako/index.js), dont le SHA-256 diffĂšre de la version officielle. ...

30 mars 2026 Â· 4 min

Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publiĂ© le 29 mars 2026. Cet article prĂ©sente les rĂ©sultats d’une investigation approfondie menĂ©e par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularitĂ© des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisĂ©es. Les leurres utilisĂ©s incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigĂ© vers un faux site de documentation hĂ©bergĂ© sur Squarespace (plateforme lĂ©gitime), ce qui permet de contourner les filtres anti-phishing. ...

29 mars 2026 Â· 2 min

macOS 26.4 : Reverse engineering des événements Endpoint Security non documentés liés au réseau

🔍 Contexte Article publiĂ© le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rĂ©tro-ingĂ©nierie des nouveaux Ă©vĂ©nements Endpoint Security (ES) introduits dans macOS 26.4, laissĂ©s sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. đŸ§© DĂ©couverte des Ă©vĂ©nements rĂ©servĂ©s Avec la sortie du MacOSX26.4.sdk, Apple a ajoutĂ© 7 nouveaux types d’évĂ©nements ES (RESERVED_0 Ă  RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

29 mars 2026 Â· 2 min

Reverse engineering des mises à jour silencieuses BSI d'Apple : CVE et correctifs non divulgués

🔍 Contexte Article technique publiĂ© le 27 mars 2026 sur Substack par un chercheur en sĂ©curitĂ©. Il documente l’analyse par rĂ©tro-ingĂ©nierie des Background Security Improvements (BSI), le nouveau mĂ©canisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR). đŸ›Ąïž MĂ©canisme BSI Les BSI fonctionnent via des cryptexes (images disque scellĂ©es sur le volume preboot) contenant Safari, WebKit et les bibliothĂšques systĂšme. Le patch applique un diff binaire sur le cryptex concernĂ©, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le systĂšme de fichiers racine n’est pas modifiĂ©. ...

29 mars 2026 Â· 2 min

Infiniti Stealer : nouvel infostealer macOS combinant ClickFix et Python compilé avec Nuitka

🔍 Contexte PubliĂ© le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article prĂ©sente la dĂ©couverte d’un nouvel infostealer macOS initialement nommĂ© NukeChain, puis renommĂ© Infiniti Stealer aprĂšs la divulgation publique de son panneau de contrĂŽle. Il s’agit, selon les auteurs, de la premiĂšre campagne macOS documentĂ©e combinant la technique ClickFix et un stealer Python compilĂ© avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection dĂ©bute sur le domaine update-check[.]com, qui affiche une rĂ©plique de page de vĂ©rification humaine Cloudflare. L’utilisateur est invitĂ© Ă  : ...

28 mars 2026 Â· 3 min

MioLab (Nova) : analyse complĂšte d'un stealer macOS MaaS ciblant les cryptomonnaies

🔍 Contexte PubliĂ© le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article prĂ©sente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones. 🎯 PrĂ©sentation de la menace MioLab est un infostealer macOS commercialisĂ© avec un panel web, une API complĂšte et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra Ă  Tahoe. Le payload est Ă©crit en C, pĂšse environ 100 KB et emploie une obfuscation XOR dynamique Ă  l’exĂ©cution. ...

24 mars 2026 Â· 4 min
Derniùre mise à jour le: 14 juillet 2026 📝