MacOS

🔍 Contexte Analyse publiée le 30 mars 2026 par StepSecurity, portant sur une attaque de supply chain découverte sur le VS Code Marketplace. Trois extensions publiées par le compte IoliteLabs — solidity-macos, solidity-windows et solidity-linux — ont été simultanément mises à jour en version 0.1.8 le 25 mars 2026, après être restées dormantes depuis 2018. Ces extensions totalisaient environ 27 500 installations combinées. 🎯 Vecteur d’attaque L’attaquant a compromis le compte éditeur IoliteLabs sur le VS Code Marketplace (hijack de compte dormant), sans modifier le dépôt GitHub source. La version 0.1.8 a été publiée directement sur la marketplace sans commit correspondant. Le code malveillant n’est pas dans le point d’entrée de l’extension (extension.js) mais injecté dans une copie altérée de la dépendance npm légitime pako (node_modules/pako/index.js), dont le SHA-256 diffère de la version officielle. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...

🔍 Contexte Article publié le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rétro-ingénierie des nouveaux événements Endpoint Security (ES) introduits dans macOS 26.4, laissés sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. 🧩 Découverte des événements réservés Avec la sortie du MacOSX26.4.sdk, Apple a ajouté 7 nouveaux types d’événements ES (RESERVED_0 à RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

🔍 Contexte Article technique publié le 27 mars 2026 sur Substack par un chercheur en sécurité. Il documente l’analyse par rétro-ingénierie des Background Security Improvements (BSI), le nouveau mécanisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR). 🛡️ Mécanisme BSI Les BSI fonctionnent via des cryptexes (images disque scellées sur le volume preboot) contenant Safari, WebKit et les bibliothèques système. Le patch applique un diff binaire sur le cryptex concerné, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le système de fichiers racine n’est pas modifié. ...

🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à : ...

🔍 Contexte Publié le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article présente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones. 🎯 Présentation de la menace MioLab est un infostealer macOS commercialisé avec un panel web, une API complète et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra à Tahoe. Le payload est écrit en C, pèse environ 100 KB et emploie une obfuscation XOR dynamique à l’exécution. ...

Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuée via des extensions Open VSX compromises, avec mise en évidence d’un C2 résilient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. • Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ téléchargements). Le package npm injecte un preinstall.js contenant une stéganographie Unicode (sélecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via détection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractères est géré côté Stage 1 (eval), mais échoue côté RAT persistant. ...

Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS. • L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés. ...

Annonce sur le blog du développeur 0xv1n (02/03/2026) présentant MacNoise, un outil open source visant à tester la visibilité et la détection des solutions de sécurité sur macOS. MacNoise est un générateur modulaire de bruit de télémétrie macOS conçu pour l’EDR testing et la recherche sécurité. Il génère de vrais événements système (connexions réseau, écritures de fichiers, créations de processus, mutations de plist, sondages de permissions TCC, etc.) afin de vérifier que l’EDR, le SIEM et les pare-feux capturent bien les signaux attendus. ...

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...