Une nouvelle variante de l'infostealer connu sous le nom de SHub, baptisé comme Récipient, montre que les attaquants continuent d'adapter leurs techniques pour surmonter les améliorations de sécurité de macOS: au lieu de tromper les victimes de coller des commandes dans Terminal, ils utilisent maintenant le schéma URL Code postal: / pour ouvrir le script de l'éditeur avec un AppleScript malveillant déjà chargé qui montre une fausse mise à jour de sécurité et, si l'utilisateur appuie sur "Run", télécharger et exécuter le code qui installe une porte arrière et vole des données sensibles.
La sophistication de l'attaque est non seulement dans l'ingénierie sociale - les leurres sont de faux installateurs d'applications populaires telles que WeChat ou Miro hébergés dans des domaines qui imitent la légitime - mais dans la chaîne technique: le script construit dynamiquement la commande que la charge utile apporte, cache des parties sous l'art ASCII, s'échappe de l'analyse par empreintes digitales des machines virtuelles et des VPN, et va à la liste des extensions de navigateur pour détecter les gestionnaires de mots de passe et les extensions de cryptowallet avant de décider s'il faut procéder à l'infection.
Ce qu'il vole et comment: Reaper demande le mot de passe macOS pour accéder au porte-clés (Keychain) et déchiffrer les identifiants, puis rechercher les données du navigateur (Chrome, Firefox, Edge et autres), les extensions de portefeuilles tels que MetaMask et Phantom, les applications de porte-monnaie de bureau (Exode, Electrum, Ledger Live, etc.), les sessions de télégramme, les données iCloud et les fichiers et documents de bureau qui peuvent contenir des informations financières. Il comprend également un "Filegrabber" qui recueille des fichiers sélectionnés avec des limites de taille et de volume, et une routine qui si vous détectez des clients portefeuille met fin aux processus légitimes et remplace les fichiers centraux (par exemple, app.asar dans les applications électroniques) avec des binaires malveillants téléchargés à partir de C2.
Pour échapper à des protections comme les avertissements Gatekeeper et macOS, malware xattr -cr et applique ad hoc au paquet modifié; sa persistance l'assure en installant un LaunchAgent qui fonctionne régulièrement (à chaque minute) en posant comme une mise à jour légitime et en servant de balise pour recevoir et exécuter des charges utiles supplémentaires.
Les implications sont claires : les utilisateurs individuels, les professionnels qui manipulent les clés privées ou les références et les entreprises avec Mac dans votre parc sont objectifs. La combinaison d'identifications de vol, d'exfiltration de fichiers et de capacité d'installer des outils d'accès à distance fait de Reaper une plate-forme qui peut évoluer vers plus d'attaques d'impact, y compris la suppression de fonds portefeuilles ou de mouvements latéraux dans les environnements d'entreprise.
Pour l'analyse technique et les indicateurs publiés par les chercheurs, lire le rapport SentinelOne sur SHub Reaper: SentinelOne: Réaper SHub. Pour les recommandations génériques sur l'hygiène des logiciels malveillants et les pratiques de réponse initiales, le guide CERT / CISA fournit de bonnes lignes directrices : CISA: Protégez votre ordinateur contre le code malveillant.
Actions immédiates recommandées pour les utilisateurs: ne pas exécuter ou "Run" sur Editor Script windows qui apparaissent après le téléchargement de quelque chose du web, toujours vérifier les domaines de téléchargement directement à partir du site officiel du fournisseur, et préfèrent les paquets signés et vérifiables. Si vous soupçonnez que votre Mac a été compromis, déconnectez-le du réseau, faites une sauvegarde sûre et envisagez de révoquer et de faire tourner les identifiants et les clés. Pour les utilisateurs de cryptomoneda, déplacez des fonds vers des portefeuilles froids (portefeuilles de matériel) et évitez d'utiliser des équipements qui peuvent être compromis.
Actions recommandées pour les administrateurs de sécurité et l'équipement: surveiller l'exécution de l'osascript et Script Editor à partir de navigateurs ou de téléchargements, revoir les récents LaunchAgens et les entrées qui imitent les mises à jour légitimes, détecter les fichiers avec des attributs de quarantaine supprimés ( xattr) ou des signatures ad hoc inhabituelles, et rechercher les remplacements de fichiers app.asar dans les applications portefeuille. Intégrer les règles de détection pour le trafic sortant atypique vers les domaines associés à Telegram API ou C2 et déployer des outils EDR qui suivent la création de processus zsh / curl qui téléchargent et exécutent des scripts à partir de sites distants.
Enfin, tenez le système à jour, appliquez des politiques de restriction sur les navigateurs et les extensions (blocez les extensions non approuvées), encouragez le principe de moins de privilège (n'utilisez pas les comptes d'administrateur pour les tâches quotidiennes) et éduquez les utilisateurs sur les techniques d'ingénierie sociale comme des mises à jour fausses et des invites de style "ClickFix". La menace est double : technique et humain ; la réduction de la surface d'attaque nécessite des contrôles techniques et des changements de comportement des utilisateurs.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...