Bybit, la deuxième plus grande bourse de cryptomonnaies au monde en volume d’échanges, a indiqué que son Security Operations Center (SOC) a dévoilé des conclusions détaillant une campagne de malware sophistiquée et en plusieurs étapes visant les utilisateurs macOS recherchant « Claude Code », un outil de développement alimenté par l’IA d’Anthropic.
Ce rapport constitue l’une des premières divulgations connues par une bourse de cryptomonnaies centralisée (CEX) d’une campagne de menaces active ciblant les développeurs via des canaux de découverte d’outils d’IA, ce qui souligne le rôle croissant du secteur dans le renseignement de cybersécurité de première ligne.
Identifiée pour la première fois en mars 2026, la campagne a utilisé un empoisonnement du référencement (SEO) pour faire remonter un domaine malveillant en tête des résultats de recherche Google. Les utilisateurs étaient redirigés vers une page d’installation usurpée conçue pour ressembler étroitement à une documentation légitime, déclenchant une chaîne d’attaque en deux étapes axée sur le vol d’identifiants, le ciblage d’actifs cryptographiques et l’accès persistant au système.
La charge utile initiale, livrée via un dropper Mach-O, déployait un voleur d’informations basé sur osascript présentant des caractéristiques similaires aux variantes connues AMOS et Banshee. Elle exécutait une séquence d’obfuscation en plusieurs phases pour extraire des données sensibles, notamment les identifiants de navigateur, les entrées du trousseau macOS, les sessions Telegram, les profils VPN et les informations de portefeuilles de cryptomonnaies. Les chercheurs de Bybit ont identifié des tentatives d’accès ciblées contre plus de 250 extensions de portefeuilles basées sur navigateur et plusieurs applications de portefeuilles de bureau.
Une charge utile de seconde étape a introduit une porte dérobée en C++ dotée de capacités d’évasion avancées, notamment la détection de sandbox et des configurations d’exécution chiffrées. Le malware établissait une persistance via des agents au niveau du système et permettait l’exécution de commandes à distance via un sondage HTTP, offrant aux attaquants un contrôle continu sur les appareils compromis.
Le SOC de Bybit a exploité des flux de travail assistés par IA sur l’ensemble du cycle de vie de l’analyse du malware, ce qui a permis d’accélérer considérablement le temps de réponse tout en maintenant une profondeur analytique. Le triage initial et la classification de l’échantillon Mach-O ont été réalisés en quelques minutes, les modèles signalant des similitudes comportementales avec des familles de malwares connues.
L’ingénierie inverse assistée par IA et l’analyse des flux de contrôle ont réduit le temps nécessaire à l’inspection approfondie de la porte dérobée de seconde étape, estimé entre six et huit heures, à moins de 40 minutes. Parallèlement, des pipelines d’extraction automatisés ont identifié des indicateurs de compromission (IOC) – y compris l’infrastructure de commande et de contrôle, les signatures de fichiers et les schémas comportementaux – et les ont reliés à des cadres de menaces établis.
Ces capacités ont permis le déploiement de mesures de détection le jour même. La génération de règles assistée par IA a soutenu la création de signatures de menaces et de règles de détection sur les endpoints, que les analystes ont validées avant leur déploiement en production. Les brouillons de rapports générés par l’IA ont encore réduit les délais, permettant de finaliser les produits de renseignement sur les menaces environ 70 % plus rapidement que les flux de travail traditionnels.
« En tant que l’une des premières bourses de cryptomonnaies à documenter publiquement ce type de campagne de malware, nous pensons que le partage de ces conclusions est essentiel pour renforcer la défense collective dans l’ensemble du secteur », a déclaré David Zong, Head of Group Risk Control and Security chez Bybit. « Notre SOC assisté par IA nous permet de passer de la détection à une visibilité complète de la chaîne de destruction en une seule fenêtre opérationnelle. Ce qui nécessitait auparavant une équipe d’analystes travaillant sur plusieurs rotations – décompilation, extraction d’IOC, rédaction de rapports, création de règles – a été réalisé en une seule session, l’IA prenant en charge les tâches lourdes et nos analystes apportant jugement et validation. »
L’enquête a également révélé des tactiques d’ingénierie sociale, notamment de fausses invites de mot de passe macOS utilisées pour valider et mettre en cache les identifiants des utilisateurs. Dans certains cas, les attaquants ont tenté de remplacer des applications de portefeuilles de cryptomonnaies légitimes telles que Ledger Live et Trezor Suite par des versions trojanisées hébergées sur une infrastructure malveillante.
Le malware ciblait un large éventail d’environnements, y compris les navigateurs basés sur Chromium, les variantes de Firefox, les données Safari, Apple Notes et les répertoires de fichiers locaux couramment utilisés pour stocker des données financières ou d’authentification sensibles.
Bybit a identifié plusieurs domaines et points de commande et de contrôle associés à la campagne, qui ont tous été neutralisés pour une divulgation publique. L’analyse indique que les attaquants s’appuyaient sur un sondage HTTP intermittent plutôt que sur des connexions persistantes, ce qui rend la détection plus difficile.
L’incident reflète une tendance croissante d’attaquants ciblant les développeurs via des résultats de recherche manipulés, en particulier à mesure que les outils d’IA sont adoptés par le grand public. Les développeurs restent des cibles de grande valeur en raison de leur accès aux bases de code, aux infrastructures et aux systèmes financiers.
Bybit a confirmé que l’infrastructure malveillante a été identifiée le 12 mars, l’analyse complète, les mesures d’atténuation et de détection ayant été achevées le même jour. La divulgation publique a suivi le 20 mars, accompagnée de recommandations de détection détaillées.
#Bybit / #CryptoArk / #NewFinancialPlatform
À propos de Bybit
Bybit est la deuxième plus grande bourse de cryptomonnaies au monde en volume d’échanges, au service d’une communauté mondiale de plus de 80 millions d’utilisateurs. Fondée en 2018, Bybit redéfinit l’ouverture dans le monde décentralisé en créant un écosystème plus simple, ouvert et égal pour tous. Avec un fort accent sur le Web3, Bybit s’associe de manière stratégique à des protocoles blockchain de premier plan pour fournir une infrastructure robuste et stimuler l’innovation on-chain. Réputée pour sa garde sécurisée, la diversité de ses marchés, son expérience utilisateur intuitive et ses outils blockchain avancés, Bybit comble le fossé entre la finance traditionnelle (TradFi) et la finance décentralisée (DeFi), permettant aux bâtisseurs, créateurs et passionnés de libérer tout le potentiel du Web3. Découvrez l’avenir de la finance décentralisée sur Bybit.com.
Pour plus de détails sur Bybit, veuillez consulter Bybit Press
Pour les demandes des médias, veuillez contacter : [email protected]
Pour les mises à jour, veuillez suivre : Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
