Dans le communiqué de presse « Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code », publié le 21 avril 2026 par Bybit via PR Newswire, la société nous informe que le titre et le neuvième paragraphe ont été mis à jour. Le communiqué complet et corrigé est présenté ci‑dessous :
L’équipe de sécurité de Bybit, dopée à l’IA, met au jour une campagne de malware macOS visant les utilisateurs recherchant Claude Code
DUBAI, ÉMIRATS ARABES UNIS, 21 avril 2026 /PRNewswire/ -- Bybit, la deuxième plus grande plateforme d’échange de cryptomonnaies au monde en termes de volume de trading, a annoncé que son Security Operations Center (SOC) avait divulgué des conclusions détaillant une campagne de malware sophistiquée et à plusieurs étapes visant les utilisateurs macOS recherchant « Claude Code », un outil de développement alimenté par l’IA d’Anthropic.
Le rapport constitue l’une des premières divulgations connues par une plateforme d’échange centralisée (CEX) d’une campagne de menace active visant les développeurs via des canaux de recherche d’outils d’IA, soulignant le rôle croissant du secteur dans le renseignement de cybersécurité de première ligne.
Identifiée pour la première fois en mars 2026, la campagne a utilisé un empoisonnement du référencement (SEO) pour hisser un domaine malveillant en tête des résultats de recherche Google. Les utilisateurs étaient redirigés vers une page d’installation usurpée, conçue pour ressembler étroitement à une documentation légitime, déclenchant une chaîne d’attaque en deux étapes axée sur le vol d’identifiants, le ciblage d’actifs cryptographiques et un accès persistant au système.
La charge utile initiale, délivrée via un « Mach‑O dropper », déployait un voleur d’informations basé sur osascript présentant des caractéristiques similaires aux variantes connues AMOS et Banshee. Elle exécutait une séquence d’obfuscation en plusieurs phases pour extraire des données sensibles, notamment les identifiants des navigateurs, les entrées du trousseau macOS, les sessions Telegram, les profils VPN et les informations de portefeuilles de cryptomonnaies. Les chercheurs de Bybit ont identifié des tentatives d’accès ciblé contre plus de 250 extensions de portefeuilles basées sur navigateur ainsi que plusieurs applications de portefeuilles de bureau.
Une charge utile de seconde étape introduisait une porte dérobée en C++ dotée de capacités avancées d’évasion, y compris la détection de sandbox et des configurations chiffrées à l’exécution. Le malware établissait une persistance via des agents au niveau du système et permettait l’exécution de commandes à distance via un sondage HTTP, offrant aux attaquants un contrôle continu sur les appareils compromis.
Le SOC de Bybit a exploité des flux de travail assistés par l’IA tout au long du cycle de vie de l’analyse du malware, accélérant considérablement le temps de réponse tout en maintenant une profondeur analytique. Le triage initial et la classification de l’échantillon Mach‑O ont été réalisés en quelques minutes, les modèles signalant des similarités comportementales avec des familles de malware connues.
L’ingénierie inverse et l’analyse des flux de contrôle assistées par l’IA ont réduit le temps nécessaire à l’inspection approfondie de la porte dérobée de seconde étape, passant d’une estimation de six à huit heures à moins de 40 minutes. Parallèlement, des pipelines d’extraction automatisés ont identifié des indicateurs de compromission (IOC) – y compris l’infrastructure de commande‑et‑contrôle, les signatures de fichiers et les schémas comportementaux – et les ont mis en correspondance avec des cadres de menace établis.
Ces capacités ont permis le déploiement de mesures de détection le jour même. La génération de règles assistée par l’IA a soutenu la création de signatures de menace et de règles de détection sur les endpoints, que les analystes ont validées avant leur déploiement en production. Des brouillons de rapports générés par l’IA ont encore réduit les délais, permettant de finaliser les livrables de renseignement sur les menaces environ 70 % plus rapidement que les flux de travail traditionnels.
« En tant que l’une des premières plateformes crypto à documenter publiquement ce type de campagne de malware, nous pensons que le partage de ces résultats est essentiel pour renforcer la défense collective de l’industrie », a déclaré David Zong, Head of Group Risk Control and Security chez Bybit. « Notre SOC assisté par l’IA nous permet de passer de la détection à une visibilité complète de la kill chain au cours d’une seule fenêtre opérationnelle. Ce qui nécessitait autrefois une équipe d’analystes travaillant sur plusieurs rotations – décompilation, extraction d’IOC, rédaction de rapports, écriture de règles – a été accompli en une seule session, l’IA prenant en charge la charge de travail lourde tandis que nos analystes apportaient jugement et validation. À l’avenir, nous ferons face à une guerre de l’IA. Utiliser l’IA pour se défendre contre l’IA est une tendance inévitable. Bybit augmentera encore ses investissements dans l’IA pour la sécurité, afin d’atteindre une détection des menaces à l’échelle de la minute et une réponse d’urgence automatisée et intelligente. »
L’enquête a également révélé des tactiques d’ingénierie sociale, y compris de fausses invites de mot de passe macOS utilisées pour valider et mettre en cache les identifiants des utilisateurs. Dans certains cas, les attaquants ont tenté de remplacer des applications de portefeuilles crypto légitimes telles que Ledger Live et Trezor Suite par des versions trojanisées hébergées sur une infrastructure malveillante.
Le malware a ciblé un large éventail d’environnements, notamment les navigateurs basés sur Chromium, les variantes de Firefox, les données de Safari, les Notes Apple et les répertoires de fichiers locaux couramment utilisés pour stocker des données financières ou d’authentification sensibles.
Bybit a identifié plusieurs domaines et points de terminaison de commande‑et‑contrôle associés à la campagne, qui ont tous été neutralisés (« defanged ») pour divulgation publique. L’analyse indique que les attaquants se sont appuyés sur un sondage HTTP intermittent plutôt que sur des connexions persistantes, ce qui rend la détection plus difficile.
L’incident reflète une tendance croissante d’attaquants ciblant les développeurs via des résultats de recherche manipulés, en particulier à mesure que les outils d’IA sont adoptés par le grand public. Les développeurs restent des cibles de grande valeur en raison de leur accès aux bases de code, à l’infrastructure et aux systèmes financiers.
Bybit a confirmé que l’infrastructure malveillante avait été identifiée le 12 mars, l’analyse complète, l’atténuation et les mesures de détection ayant été achevées le même jour. La divulgation publique a suivi le 20 mars, accompagnée de recommandations de détection détaillées.
#Bybit / #CryptoArk / #NewFinancialPlatform
À propos de Bybit
Bybit est la deuxième plus grande plateforme d’échange de cryptomonnaies au monde en termes de volume de trading, au service d’une communauté mondiale de plus de 80 millions d’utilisateurs. Fondée en 2018, Bybit redéfinit l’ouverture dans le monde décentralisé en créant un écosystème plus simple, ouvert et équitable pour tous. Fortement axée sur le Web3, Bybit s’associe stratégiquement à des protocoles blockchain de premier plan pour fournir une infrastructure robuste et stimuler l’innovation on‑chain. Reconnue pour sa garde sécurisée, la diversité de ses marchés, son expérience utilisateur intuitive et ses outils blockchain avancés, Bybit comble le fossé entre la finance traditionnelle (TradFi) et la finance décentralisée (DeFi), donnant aux bâtisseurs, créateurs et passionnés les moyens de libérer tout le potentiel du Web3. Découvrez l’avenir de la finance décentralisée sur Bybit.com.
Pour plus de détails sur Bybit, veuillez visiter Bybit Press
Pour les demandes des médias, veuillez contacter : [email protected]
Pour les mises à jour, veuillez suivre : Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
