TechFlow rapporte qu’un centre d’opérations de sécurité de Bybit a découvert, le 21 avril, une campagne de logiciels malveillants à plusieurs étapes ciblant les utilisateurs macOS de l’outil d’IA pour le développement de code Claude Code.
Les attaquants ont utilisé une technique de « poisoning » du référencement (SEO) afin de placer des noms de domaine malveillants en tête des résultats de recherche Google, incitant ainsi les utilisateurs à accéder à une page d’installation factice. Cette page permettait alors de voler les identifiants des navigateurs, le trousseau macOS, les sessions Telegram, les configurations VPN ainsi que les informations relatives aux portefeuilles cryptographiques.
Bybit précise que ce logiciel malveillant peut également établir un accès persistant via un programme porte dérobée et tente de cibler plus de 250 extensions de portefeuilles pour navigateurs ainsi que plusieurs applications de portefeuilles de bureau. L’infrastructure malveillante concernée a été identifiée le 12 mars, et les analyses, mesures d’atténuation et méthodes de détection correspondantes ont été finalisées ce même jour.
