Des logiciels malveillants ciblent les Mac en se faisant passer pour des gestionnaires de mots de passe populaires

Tech > MacOS > Sécurité > Malware
Par Jordan Servan publié le 24 septembre 2025 à 16h00.
Tech
Apple macOS 26 Tahoe

Image d'illustration. Apple macOS 26 TahoeADN

Les utilisateurs de Mac sont actuellement ciblés par un logiciel malveillant qui se fait passer pour des gestionnaires de mots de passe connus, exposant leurs données sensibles. Des conseils pratiques permettent néanmoins de renforcer la sécurité face à cette menace croissante.

Tl;dr

  • Les utilisateurs de macOS sont ciblés par AMOS, un malware diffusé via de faux dépôts GitHub.
  • La technique « ClickFix » incite les victimes à exécuter des scripts qui installent le malware et ouvrent une backdoor persistante.
  • Pour se protéger, il faut privilégier les sources officielles, ne jamais exécuter de scripts inconnus et utiliser un antivirus fiable.

Une campagne sophistiquée cible les utilisateurs macOS

Depuis quelques semaines, une vague inédite de cyberattaques s’abat sur les utilisateurs de macOS. Les assaillants, particulièrement ingénieux, se font passer pour plus d’une centaine d’applications populaires, dont les gestionnaires de mots de passe comme LastPass ou encore 1Password, mais aussi des logiciels tels que Dropbox, Gemini, Audacity, et même la solution de sécurité SentinelOne. Leur stratagème ? Diffuser le malware appelé Atomic macOS Stealer (AMOS) en exploitant de faux dépôts sur la plateforme GitHub, souvent propulsés par des comptes multiples afin d’échapper à toute détection et d’obtenir un meilleur positionnement dans les résultats de recherche.

L’essor du ClickFix : quand la méfiance n’est jamais de trop

Ce qui frappe dans cette offensive, c’est l’usage du mode opératoire dit « ClickFix ». Le principe est simple mais redoutable : après avoir attiré l’utilisateur sur un faux dépôt GitHub, ce dernier clique sur un bouton « télécharger » qui le redirige vers une page lui demandant d’exécuter un script dans son terminal. À ce stade, beaucoup ignorent la véritable fonction du code qu’ils entrent. En réalité, il lance une commande curl, récupère une charge virale — encodée en base64 — et installe discrètement AMOS dans le répertoire /tmp du système. Les hackers misent sur le manque de vigilance ou la confiance mal placée dans la technologie.

Nouvelles fonctionnalités malveillantes et riposte difficile

La dangerosité du malware s’accentue avec l’introduction récente d’une fonctionnalité backdoor offrant aux pirates un accès furtif et persistant aux machines infectées. Malgré les alertes lancées par des acteurs majeurs comme LastPass, qui signale activement ces faux dépôts à GitHub, la prolifération reste préoccupante : il suffit aux attaquants d’automatiser la création de nouveaux comptes pour relancer l’arnaque aussi vite que les anciens liens sont supprimés.

Mieux se protéger : conseils essentiels face à la menace croissante

Pour limiter les risques liés à ce type d’attaque, quelques réflexes s’imposent :

  • N’exécutez jamais un script dont vous ignorez le fonctionnement réel.
  • Téléchargez vos logiciels uniquement depuis le site officiel ou l’App Store macOS.
  • Méfiez-vous tout particulièrement des versions prétendument exclusives trouvées sur des plateformes tierces.

Enfin, compléter votre arsenal avec une solution antivirus performante ou même un service spécialisé dans la protection contre le vol d’identité pourrait faire toute la différence. La multiplication de ces campagnes démontre que l’ingéniosité des cybercriminels reste sans limite — alors autant garder une longueur d’avance grâce à quelques bons réflexes et beaucoup de prudence.

En savoir plus