Des chercheurs en sécurité et Bleeping Computer ont récemment découvert une nouvelle méthode d’attaque visant les utilisateurs de Mac. Les attaquants se font passer pour l’assistance Apple dans une fenêtre de chat Claude partagée, en expliquant comment installer le logiciel Claude Code sur un Mac.
Mode opératoire et caractéristiques
- Incitation à exécuter des commandes Terminal : via un faux chat, les utilisateurs sont poussés à copier puis exécuter des commandes Terminal. Une fois lancées, ces commandes donnent l’impression de mettre en place l’environnement
Claude Code, mais téléchargent en réalité un malware en arrière-plan et l’écrivent dans un script shell. - Sélection géographique : certaines variantes vérifient si l’ordinateur infecté utilise un clavier en russe ou configuré pour un pays de la CEI (Communauté des États indépendants). Si c’est le cas, le malware s’arrête de lui-même.
- Installation volatile : ce malware s’exécute principalement en mémoire (RAM), laissant donc très peu de traces visibles sur le stockage permanent.
- Vol de données : le logiciel installé collecte des identifiants de connexion, des cookies, le contenu du trousseau macOS, entre autres, puis les envoie vers le serveur des attaquants. L’expert en sécurité Berk Albayrak l’a identifié comme une variante de
MacSync.
Réponse et prévention
Des attaques similaires se sont déjà produites en décembre 2025 via ChatGPT et Grok. Apple continue de renforcer ses mesures de sécurité les plus récentes.
- Alerte système : à partir de macOS 26.4, un message d’avertissement au niveau du système s’affiche lorsqu’une commande copiée depuis l’extérieur est collée dans le Terminal.
- Rester à jour : il est recommandé de toujours maintenir macOS à jour et de garder également les antivirus tiers dans leur dernière version.
Aucun commentaire pour le moment.