Les utilisateurs recherchant "Claude mac download" peuvent tomber sur des résultats de recherche sponsorisés qui semblent liés à *claude.ai*, mais mènent plutôt à des instructions qui installent des malwares sur leurs Mac.  ## Les Chats Claude Partagés Armés pour Cibler les Utilisateurs de macOS La campagne a été repérée par **Berk Albayrak**, un ingénieur en sécurité chez Trendyol Group, qui a partagé ses découvertes sur LinkedIn.  Albayrak a identifié un chat partagé sur Claude.ai qui se présente comme un guide officiel d'installation "Claude Code on Mac", attribué à "Apple Support". Le chat guide les utilisateurs à travers l'ouverture du Terminal et le collage d'une commande, qui télécharge et exécute silencieusement des malwares sur leur Mac. En tentant de vérifier les découvertes d'Albayrak, BleepingComputer a découvert un **deuxième** chat Claude partagé menant la même attaque via une infrastructure entièrement distincte. Les deux chats suivent une structure et une approche d'ingénierie sociale identiques, mais utilisent des domaines et des payloads différents. Les deux chats étaient accessibles publiquement au moment de la rédaction :  ## Que fait le malware pour macOS ? Les instructions base64 présentées dans le chat Claude partagé téléchargent un script shell encodé depuis des domaines tels que : * Dans la variante observée par Albayrak [[VirusTotal](https://www.virustotal.com/gui/file/ed5ed79a674972d1506dd8d68e8e13658125267ade86bfcb1ab794e2b49e50ac/detection)]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e * Dans la variante observée par BleepingComputer [[VirusTotal](https://www.virustotal.com/gui/file/a833ad989b68dad582a1b591b8cf63466e79c850ff72916cf5d4c4a7f6bc650e?nocache=1)]: hxxps://bernasibutuwqu2[.]com/debug/**loader.sh**?build=a39427f9d5bfda11277f1a58c89b7c2d Le 'loader.sh' (servi par le second lien ci-dessus) est un autre ensemble d'instructions shell compressées par Gunzip :  Ce script shell compressé s'exécute entièrement en mémoire, laissant peu de traces évidentes sur le disque. La variante identifiée par BleepingComputer commence par vérifier si la machine a des sources d'entrée clavier configurées en russe ou dans la région de la CEI. Si c'est le cas, le script se termine sans rien faire, envoyant un ping discret de statut *cis_blocked* au serveur de l'attaquant. Seules les machines qui réussissent ce contrôle reçoivent l'étape suivante :  Avant de poursuivre, le script collecte également l'adresse IP externe de la victime, son nom d'hôte, la version de son OS et sa locale clavier, renvoyant le tout à l'attaquant. Ce type de profilage de la victime avant la livraison du payload suggère que les opérateurs sont sélectifs quant à leurs cibles. Le script télécharge ensuite un payload de second niveau et l'exécute via *osascript*, le moteur de script intégré de macOS. Cela donne à l'attaquant une exécution de code à distance sans jamais déposer une application ou un binaire traditionnel. La variante identifiée par Albayrak, cependant, semble sauter les étapes de profilage. Elle passe directement à l'exécution. Elle récolte les identifiants de navigateur, les cookies et le contenu du Trousseau d'accès de macOS, les emballe et les exfiltre vers le serveur de l'attaquant. Les chercheurs ont identifié cela comme une variante de l'infostealer **MacSync** pour macOS :  *Le domaine briskinternet[.]com montré ci-dessus dans la variante identifiée par Albayrak semblait hors service au moment de la rédaction.* ## Quand l'URL légitime est la menace Le malvertising est devenu un mécanisme de livraison récurrent pour les malwares. BleepingComputer a déjà signalé des campagnes similaires ciblant les utilisateurs recherchant des logiciels comme **GIMP**, où une publicité Google convaincante listait un domaine d'apparence légitime mais redirigeait les visiteurs vers un site de phishing ressemblant. Cette campagne inverse la tendance, car il n'y a pas de faux domaine à repérer. Les deux publicités Google vues ici pointent vers le domaine réel d'**Anthropic**, *claude.ai*, car les attaquants hébergent leurs instructions malveillantes à l'intérieur de la fonctionnalité de chat partagé de Claude. L'URL de destination dans la publicité est authentique. Ce n'est cependant pas la première fois que des attaquants abusent des chats partagés de plateformes d'IA de cette manière. En décembre, BleepingComputer a signalé une campagne similaire ciblant les utilisateurs de **ChatGPT** et Grok. Les utilisateurs devraient naviguer directement vers claude.ai pour télécharger l'application native Claude, plutôt que de cliquer sur les résultats de recherche sponsorisés. Le Claude Code CLI légitime est disponible via la documentation officielle d'Anthropic et ne nécessite pas de coller des commandes depuis une interface de chat. Il est de bonne pratique de traiter avec prudence toute instruction vous demandant de coller des commandes de terminal, quelle que soit l'origine apparente de ces instructions. BleepingComputer a contacté Anthropic et Google pour obtenir des commentaires avant la publication. ## 99% de ce que Mythos a trouvé est toujours non corrigé. AI a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors de l'Autonomous Validation Summit (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation. Réservez Votre Place