Je viens de me mettre à jour sur quelque chose qui circule dans les cercles de sécurité et qu'il vaut la peine de surveiller si vous êtes dans l'espace crypto. Des chercheurs ont confirmé que Lazarus Group — l'organisation liée à la Corée du Nord qui a été derrière certains des plus grands vols de crypto — mène une nouvelle campagne de malware pour macOS. Celle-ci s'appelle Mach-O Man, et elle est distribuée via quelque chose appelé ClickFix, un cadre d'ingénierie sociale qui cible un large éventail d'entreprises traditionnelles et de sociétés crypto.

Voici ce qui se passe réellement : les victimes reçoivent ce qui ressemble à une invitation légitime à un appel Zoom ou Google Meet. Ça paraît normal, non ? Mais une fois qu'elles cliquent, on leur demande d'exécuter des commandes qui téléchargent discrètement le malware en arrière-plan. C'est astucieux car cela contourne beaucoup de contrôles de sécurité standard sur lesquels la plupart des gens comptent. Tout est conçu pour récolter des identifiants, des données de navigateur, des cookies, et des entrées du porte-clés — en gros tout ce qui a de la valeur sur votre machine. Une fois tout capturé, ça compresse le tout et l’envoie via Telegram avant de se supprimer complètement.

Ce qui vaut la peine d’être noté ici, c’est que ce n’est plus seulement une question de crypto. Lazarus a progressivement élargi son champ de cibles au cours des derniers mois. Nous l’avons vu pénétrer Zerion en avril en utilisant l’ingénierie sociale améliorée par l’IA pour récupérer les identifiants d’équipe et les clés privées. Avant cela, il y a eu la grosse brèche sur une plateforme d’échange en 2025, qui a coûté 1,4 milliard de dollars — toujours l’une des plus grandes pertes en crypto enregistrées. Le schéma est clair : ils deviennent plus sophistiqués et plus ambitieux.

L’angle macOS est particulièrement intéressant car beaucoup d’équipes de sécurité se sont historiquement concentrées davantage sur les environnements Windows. Cela a laissé quelques lacunes, notamment autour des contrôles d’application et de la sensibilisation des utilisateurs sur les systèmes Apple. Lazarus l’a clairement remarqué et en profite.

Pour quiconque gère une entreprise crypto ou une infrastructure sensible, c’est un signal d’alarme. La combinaison d’ingénierie sociale et de vol d’identifiants reste l’un des vecteurs d’attaque les plus difficiles à défendre. Si vous ne pensez pas encore à l’accès avec le moindre privilège, aux listes d’autorisation d’applications, et à la surveillance des séquences de téléchargement et d’exécution étranges, c’est le moment. Il vaut aussi la peine de vérifier quelles données pourraient fuir par des canaux inattendus comme Telegram.

La leçon plus large : même si les menaces spécifiques à la crypto restent en tête des actualités, les attaquants étendent leur portée à d’autres secteurs. Cela signifie que la surface d’attaque pour les échanges, les custodians, et les fournisseurs d’infrastructure ne cesse de croître. Surveillez bien cet espace — il est probable que de nouvelles variantes de ce malware apparaissent avec encore plus de techniques d’évasion. La convergence entre ingénierie sociale, vol automatisé d’identifiants, et auto-suppression devient un vrai problème pour les défenseurs dans toute l’industrie.