Gaslight, un nouveau malware macOS, tente de brouiller les pistes d’une manière assez inédite : il cache de faux messages d’erreur dans son code pour perturber les outils d’analyse assistés par IA.
Les malwares savent déjà flairer les environnements de test, repérer les sandboxes ou compliquer le travail des chercheurs. Gaslight, lui, ajoute une corde à son arc : il tente de faire douter l’IA chargée de l’examiner. Repéré par SentinelOne, ce malware macOS écrit en Rust embarque des fonctions classiques de porte dérobée et de vol d’informations. Mais sa signature la plus originale tient à un petit bloc de fausses alertes techniques, conçu pour polluer l’analyse des assistants IA utilisés en cybersécurité.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
De faux messages d’erreur pour embobiner les agents IA
D’après les équipes de SentinelOne, Gaslight embarque environ 3,5 Ko de données contenant 38 messages présentés comme des logs, rapports de crash, erreurs de build ou alertes de sécurité. On y trouve par exemple des avertissements sur un jeton expiré, un processus tué par manque de mémoire, une erreur JSON, une saturation des logs ou une supposée faille d’injection SQL.
Sauf que ces messages ne décrivent pas l’activité réelle du malware. Ils sont là pour perturber les outils d’analyse qui lisent automatiquement les chaînes de caractères présentes dans un exécutable. Dans une chaîne d’analyse assistée par IA, ce type de contenu peut ressembler à des instructions internes ou à des erreurs de session, au risque de pousser l’agent à tronquer son analyse, à la remettre en cause, voire à refuser de poursuivre.
Le choix du nom Gaslight n’est donc pas gratuit : le malware tente littéralement de faire croire à l’agent d’analyse automatisée qu’il rencontre des erreurs qui n’existent pas, et que le problème vient de lui.
Quand l’IA analyse, l’humain doit rester aux commandes
Selon SentinelOne, Gaslight serait très probablement lié à la Corée du Nord. Il ressemble d’autant moins à un banal prototype que, derrière sa petite mise en scène destinée à faire tourner les agents IA en bourrique, le malware se révèle aussi être un implant très complet, capable de recevoir des ordres via Telegram, d’ouvrir un shell, de voler des données navigateur ou de cibler le trousseau macOS.
Faut-il en conclure que les malwares savent désormais neutraliser les outils de cybersécurité dopés à l’IA ? Non. Pour les chercheurs, Gaslight sonne plutôt comme un avertissement adressé aux chaînes d’analyse automatisées. Dès qu’un agent IA lit ce que contient un malware, il faut partir du principe que le malware peut aussi tenter de le manipuler. Aux équipes de sécurité, ensuite, de s’assurer que ces faux messages sont bien identifiés pour ce qu’ils sont : du poison pour l’analyse, pas des instructions à suivre.
