Comment le malware macOS nord-coréen cible les cryptomonnaies : analyse et prévention
Églantine Montclair
Le malware macOS nord-coréen, une nouvelle arme contre les acteurs de la cryptomonnaie
En 2026, une série d’attaques sophistiquées a mis en lumière le malware macOS nord-coréen. Selon le rapport annuel de l’ANSSI, 27 % des incidents de cybersécurité en Europe concernent désormais les systèmes macOS, contre 19 % en 2023. Cette hausse s’explique en partie par l’adoption de techniques d’ingénierie sociale basées sur l’IA et le deepfake. Dans cet article, nous décortiquons la chaîne d’infection, les familles de malware découvertes, et les mesures concrètes que les entreprises du secteur des cryptomonnaies peuvent mettre en place.
Comprendre la menace du malware macOS nord-coréen
Contexte géopolitique et motivations financières
Les groupes de hackers liés à la Corée du Nord, identifiés sous le nom d’UNC1069 et BlueNoroff, opèrent depuis 2018 avec un objectif clairement financier. Leur évolution récente montre un basculement vers les cryptomonnaies après des campagnes ciblant le secteur Web3 en 2023. Comme le soulignent les chercheurs de Mandiant, « l’objectif : vol de analyse ransomware 2026 et collecte d’informations pour de futures campagnes de phishing ». Cette double finalité rend la menace particulièrement dangereuse pour les fintechs et les plateformes d’échange.
Techniques de social engineering innovantes
Les attaquants utilisent des vidéos générées par IA et la technique ClickFix pour inciter les victimes à cliquer sur des liens malveillants. Le scénario typique débute par un message sur Telegram provenant d’un compte compromis d’un dirigeant. Après un échange de confiance, la victime reçoit un lien Calendly menant à une page Zoom factice, où un deepfake d’un CEO apparaît. Sous prétexte d’un problème audio, l’attaquant pousse la cible à exécuter des commandes affichées sur la page, déclenchant ainsi l’infection.
“Une fois dans la ‘réunion’, la vidéo truquée crée l’illusion d’un problème technique, ce qui pousse la victime à suivre les instructions de l’attaquant”, explique un analyste de Mandiant.
Chaîne d’infection et techniques de social engineering
Étape 1 : Livraison du code via ClickFix
Le site compromis héberge deux scripts, l’un pour Windows et l’autre pour macOS. Le script macOS exploite AppleScript pour lancer un binaire Mach-O malveillant. Ce dernier initialise la première famille de malware - WAVESHAPER - qui tourne en arrière-plan comme un daemon.
-- Exemple simplifié d’exécution d’un binaire malveillant via AppleScript
set maliciousPath to "/tmp/evil.bin"
do shell script "chmod +x " & maliciousPath & " && " & maliciousPath with administrator privileges
Étape 2 : Déploiement des familles de malware
Une fois le premier binaire exécuté, il télécharge et charge en mémoire plusieurs chargeurs supplémentaires via le protocole WebSockets. Chaque chargeur correspond à une famille distincte, chacune avec un rôle précis : collecte d’informations, persistance, exfiltration de données, etc.
Étape 3 : Exfiltration et monétisation
Les modules comme DEEPBREATH ciblent le keychain macOS, les données de navigation et les conversations Telegram. Les informations volées alimentent des scripts automatisés qui transfèrent des analyse ransomware 2026 vers des portefeuilles contrôlés par les hackers. Selon le rapport Mandiant 2025, 42 % des victimes ont vu leurs portefeuilles vidés de plus de 150 000 USD en moyenne.
“Le volume de malware déployé sur un seul hôte est inhabituel : cela montre une volonté de récolter le maximum d’informations pour deux objectifs majeurs », constate le même rapport.
Analyse détaillée des familles de malware macOS
| Famille | Langage / Technique | Fonction principale | Méthode de persistance |
|---|---|---|---|
| WAVESHAPER | C++ | Daemon de collecte d’informations système | Launch daemon (manuel) |
| HYPERCALL | Golang | Downloader chiffré RC4, connexion WebSocket | Aucun (chargé en mémoire) |
| HIDDENCALL | Golang | Backdoor injecté refléchi, contrôle clavier | Aucun |
| SILENCELIFT | C/C++ | Beaconing d’état d’écran, interruption Telegram | Launch daemon |
| DEEPBREATH | Swift | Mineur de données, modification du TCC pour accès complet | Launch agent |
| SUGARLOADER | C++ | Downloader RC4, persistance via launch daemon | Launch daemon |
| CHROMEPUSH | C++ | Exfiltration de données de navigateur via extension Chrome factice | Aucun |
Caractéristiques communes
- Chiffrement RC4 des configurations pour éviter l’analyse statique.
- Utilisation de WebSockets sur le port 443, rendant le trafic difficile à distinguer du trafic HTTPS légitime.
- Persistance via des launch daemons ou launch agents, une technique native dmacOS qui passe souvent inaperçue.
Particularités de chaque famille
- WAVESHAPER agit comme un daemon silencieux, collectant les informations d’hardware et de réseau.
- HYPERCALL lit un fichier de configuration chiffré, puis télécharge des bibliothèques dynamiques malveillantes.
- DEEPBREATH contourne le TCC (Transparency, Consent, and Control) en modifiant directement la base de données, ce qui ouvre un accès quasi illimité au système de fichiers.
- CHROMEPUSH se fait passer pour une extension Google Docs Offline, capturant les frappes et les cookies.
Détection et mesures de protection
1. Surveillance des indicateurs de compromission (IoC)
- Fichiers suspects :
/tmp/evil.bin,/Library/LaunchDaemons/com.apple.silencelift.plist. - Communications réseau : connexions WebSocket vers des domaines non répertoriés dans les listes blanches de l’entreprise.
- Processus inhabituels : daemons exécutés sous des comptes non-systèmes, notamment des processus nommés waveshaper ou sugarloader.
2. Renforcement de la chaîne d’approvisionnement logicielle
- Implémenter la signature de code obligatoire pour toutes les applications internes.
- Utiliser des solutions de code signing avec des certificats hardware (YubiKey) afin de prévenir l’exécution de binaires non signés.
3. Formation et simulation d’attaques d’ingénierie sociale
- Organiser des ateliers mensuels où les équipes de sécurité simulent des scénarios de deepfake et de phishing via Telegram.
- Mettre en place une politique de double authentification (2FA) pour tout accès à des outils de visioconférence.
4. Configuration du TCC et des permissions macOS
- Restreindre les autorisations d’accès au keychain aux seules applications certifiées.
- Activer le mode « Gatekeeper » en mode stricte et désactiver l’exécution de scripts non signés.
Checklist de prévention rapide (liste à puces)
- Vérifier les logs de lancement de daemons chaque semaine.
- Bloquer les domaines inconnus sur le port 443 via le pare-feu d’entreprise.
- Auditer les permissions TCC chaque trimestre.
- Former les équipes aux dernières techniques de deepfake.
- Mettre à jour régulièrement les systèmes macOS (minimum 12.7).
Mise en œuvre - étapes actionnables
- Cartographier les flux réseau de vos postes macOS et identifier les connexions sortantes suspectes.
- Déployer un EDR (Endpoint Detection & Response) compatible macOS, capable de détecter les launch daemons non autorisés.
- Intégrer des règles de corrélation SIEM basées sur les IoC listés ci-dessus.
- Simuler un scénario de phishing via Telegram avec un deepfake pour tester la réactivité des équipes.
- Documenter chaque incident dans un registre dédié, incluant les artefacts collectés et les mesures correctives appliquées.
Conclusion - protéger votre infrastructure crypto face au malware macOS nord-coréen
Le malware macOS nord-coréen représente une menace avancée, combinant deepfake, ingénierie sociale et une suite de malware modulaires. En adoptant une approche holistique - surveillance des IoC, renforcement des contrôles d’accès, formation continue et déploiement d’outils de détection adaptés - les acteurs du secteur des cryptomonnaies peuvent réduire significativement le risque de compromission. La vigilance reste la première ligne de défense : chaque interaction suspecte doit être traitée comme une potentielle porte d’entrée vers une campagne de vol de analyse ransomware 2026. Agissez dès aujourd’hui pour sécuriser vos actifs numériques et protéger la confiance de vos utilisateurs.