Omnistealer : un infostealer exploite la blockchain comme infrastructure C2 permanente

Sun, 19 Apr 2026 00:00:00 +0000

🗓️ Contexte

Source : Malwarebytes (blog officiel), publié le 14 avril 2026. L’article présente une analyse d’un nouveau logiciel malveillant de type infostealer nommé Omnistealer, dont la particularité principale est l’utilisation de blockchains publiques comme infrastructure de commande et contrôle (C2).

🔗 Technique d’hébergement via la blockchain

Contrairement aux infostealers classiques qui stockent leurs charges utiles sur des plateformes supprimables (GitHub, PyPI, npm, Google Docs, OneDrive), Omnistealer encode des fragments de code malveillant, du texte chiffré et des commandes codées directement dans des transactions blockchain sur :

Omnistealer : un malware nord-coréen persistant dans la blockchain vole 300 000 credentials

Sun, 19 Apr 2026 00:00:00 +0000

🗞️ Contexte

Article de presse spécialisée publié le 11 avril 2026 par PCMag, basé sur des informations exclusives fournies par les chercheurs de Ransom-ISAC et Crystal Intelligence. L’enquête a débuté lorsque le vice-président ingénierie de Crystal Intelligence a reçu une fausse offre d’emploi sur LinkedIn, révélant une campagne d’attaque d’envergure mondiale.

🎯 Description de l’attaque

La chaîne d’attaque repose sur plusieurs étapes :

Vecteur initial : fausses offres d’emploi diffusées via LinkedIn, Upwork, Telegram et Discord, ciblant des développeurs freelance (notamment en Inde et en Asie du Sud)
Infection : les cibles sont invitées à exécuter du code depuis des dépôts GitHub infectés
Infrastructure C2 blockchain : le code malveillant contacte les blockchains TRON ou Aptos pour récupérer un pointeur vers la Binance Smart Chain, qui héberge le payload final
Persistance : le malware est encodé dans des transactions blockchain, le rendant impossible à supprimer et de plus en plus difficile à tracer

🦠 Malware : Omnistealer

Le malware baptisé Omnistealer est compatible avec :