MacOS

Selon Hackread.com (article de Deeba Ahmed), une attaque supply chain nommée « s1ngularity » a compromis la plateforme de build Nx à partir du 26 août 2025, ciblant les versions 20.9.0 à 21.8.0. L’objectif principal : le vol d’identifiants et de secrets de développeurs, touchant majoritairement des utilisateurs macOS. L’attaque a exfiltré des tokens GitHub, clés d’authentification npm et clés privées SSH. Elle a également visé des clés API d’outils d’IA (dont Gemini, Claude et Q), marquant un intérêt pour les plateformes d’IA émergentes. Un payload destructeur modifiait les fichiers de démarrage du terminal, provoquant le plantage des sessions. 🔐 ...

Selon CrowdStrike, entre juin et août 2025, la plateforme Falcon a empêché une campagne de malware visant plus de 300 environnements clients, opérée par l’acteur eCrime COOKIE SPIDER et déployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). • Le mode opératoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes à exécuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient déjà exploité cette méthode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon Moonlock, une campagne attribuée à des acteurs nord-coréens exploite des stealer malware visant macOS pour collecter des identités et contourner les vérifications d’antécédents, afin d’infiltrer des entreprises américaines comme « faux » travailleurs IT. Le dossier met en perspective ces activités avec de récents raids du FBI contre des « laptop farms », soulignant le lien entre cybercriminalité, espionnage et contournement des sanctions. La menace décrite repose sur l’ingénierie sociale comme vecteur principal (faux recrutements, arnaques de type ClickFix), plutôt que sur des exploits sophistiqués. Les identifiants et données personnelles volés sont réutilisés pour dépasser les contrôles RH et accéder à des postes sensibles, participant à des objectifs d’espionnage et de contournement des sanctions 🕵️‍♂️. ...

L’Internet Storm Center rapporte qu’Apple a récemment publié des mises à jour pour iOS, iPadOS, macOS, watchOS, tvOS, et visionOS. Ces mises à jour incluent des correctifs pour un total de 89 vulnérabilités. Bien que la plupart des vulnérabilités soient liées à des problèmes de déni de service et de corruption de mémoire, certaines concernent des escalades de privilèges et des évasions de sandbox. Les descriptions fournies par Apple restent vagues, mais certaines vulnérabilités notables incluent la possibilité pour une application de lire un identifiant de périphérique persistant (CVE-2025-24220) ou d’exécuter du code arbitraire en dehors de son sandbox (CVE-2025-24119). ...

Microsoft Threat Intelligence a découvert une vulnérabilité critique sur macOS, identifiée sous le nom de CVE-2025-31199 ou ‘Sploitlight’. Cette faille permet aux attaquants de contourner les protections Transparency, Consent, and Control (TCC) en utilisant des plugins Spotlight malveillants. La vulnérabilité permet un accès non autorisé à des fichiers sensibles dans des répertoires protégés tels que Downloads et Pictures. Plus grave encore, elle peut extraire des données privées mises en cache par Apple Intelligence, y compris des données de géolocalisation, des métadonnées de photos, des données de reconnaissance faciale et l’historique de recherche. ...

L’article, publié par Phil Stokes & Dinesh Devadoss, met en lumière la résurgence du malware ZuRu qui cible les utilisateurs de macOS en trojanisant des applications populaires utilisées par les développeurs et professionnels de l’IT. Historique et évolution : Initialement découvert en juillet 2021, ZuRu a été distribué via des résultats de recherche empoisonnés sur Baidu, redirigeant les utilisateurs vers des versions trojanisées d’applications comme iTerm2. En 2024, des chercheurs ont identifié l’utilisation du framework open-source Khepri C2 pour les opérations post-infection. ...

L’article, publié par Bleeping Computer, rapporte la découverte d’une nouvelle version du malware Atomic macOS info-stealer (AMOS) qui inclut désormais une backdoor. Cette évolution permet aux attaquants de maintenir un accès persistant aux systèmes compromis. Le nouveau composant du malware permet l’exécution de commandes à distance, survit aux redémarrages et offre un contrôle continu sur les hôtes infectés. Cette capacité à exécuter des commandes arbitraires à distance représente une menace significative pour les utilisateurs de macOS. ...

Bleeping Computer rapporte que des hackers soutenus par l’État nord-coréen ont développé un nouveau malware macOS nommé NimDoor. Ce logiciel malveillant est utilisé dans une campagne visant spécifiquement les organisations Web3 et de cryptomonnaie. Le malware NimDoor est conçu pour s’infiltrer dans les systèmes macOS, permettant aux attaquants d’accéder à des informations sensibles et de potentiellement compromettre des transactions financières. Cette nouvelle menace s’inscrit dans une série d’attaques attribuées à des groupes de hackers nord-coréens, connus pour cibler le secteur financier mondial. ...

L’article publié par Huntress le 18 juin 2025, expose une intrusion sophistiquée menée par le groupe APT nord-coréen BlueNoroff, également connu sous plusieurs autres noms tels que Sapphire Sleet et STARDUST CHOLLIMA. Ce groupe est connu pour cibler les cryptomonnaies depuis 2017. L’attaque a débuté par un message envoyé via Telegram à un employé d’une fondation de cryptomonnaie, incluant un lien Calendly redirigeant vers un faux domaine Zoom. Lors d’une réunion Zoom truquée, l’employé a été incité à télécharger une fausse extension Zoom, qui était en réalité un script malveillant. ...