Des chercheurs de SentinelOne ont identifié une nouvelle variante du malware SHub ciblant macOS, baptisée « Reaper ». Contrairement aux versions précédentes qui exigeaient des manipulations dans le Terminal, Reaper utilise AppleScript pour contourner les dernières protections de macOS (Tahoe 26.4) et parvenir à exécuter un charge utile d’infostealer puis à installer une backdoor pour maintenir un accès persistant. Le mode opératoire et les conséquences pour les victimes méritent une attention renforcée : voici le détail technique et les mesures pratiques à adopter immédiatement.
Comment la chaîne d’infection fonctionne
La campagne commence par des faux installateurs hébergés sur des sites qui imitent des logiciels légitimes (WeChat, Miro). Quand l’utilisateur clique pour télécharger, au lieu d’obtenir un .dmg propre, macOS ouvre l’éditeur de scripts (Script Editor) et exécute un AppleScript malveillant. Ce script télécharge et lance le binaire SHub. Cette méthode permet d’exploiter l’interaction de l’utilisateur tout en contournant, dans certains cas, l’alerte initiale de sécurité récemment renforcée par Apple.
Ce que fait Reaper une fois exécuté
Les capacités observées de la variante Reaper montrent qu’elle est conçue pour maximiser l’exfiltration de données et, potentiellement, le vol de crypto‑actifs :
Collecte d’informations système et envoi des métadonnées aux opérateurs via des canaux automatisés (ex. bots Telegram).
Demande de la saisie du mot de passe utilisateur — stratégie classique pour obtenir l’accès au trousseau (Keychain) ou pour contourner des protections locales.
Scraping des données des principaux navigateurs : historiques, cookies, sessions actives.
Extraction des données depuis les extensions de portefeuilles crypto et des applications de wallets de bureau.
Recherche automatisée de documents sensibles dans Desktop et Documents (factures, documents bancaires) puis exfiltration.
Remplacement, si possible, d’applications wallet par des versions modifiées (trojanées) qui redirigent les transferts de crypto vers des adresses contrôlées par les attaquants.
Création d’un répertoire déguisé en mise à jour Google contenant un script de persistance servant de backdoor pour l’accès à distance ultérieur.
Pourquoi cette variante est particulièrement dangereuse
Plusieurs éléments rendent Reaper préoccupant :
L’utilisation d’AppleScript exploite des mécanismes entièrement légitimes du système, compliquant la détection basée uniquement sur des signatures classiques.
La technique d’ingénierie sociale (faux installateurs) reste très efficace : l’utilisateur croit télécharger un logiciel connu.
La combinaison infostealer + backdoor permet non seulement d’exfiltrer, mais aussi d’exploiter ultérieurement la machine comme pivot dans des attaques plus larges.
Le focus sur les wallets crypto et le remplacement d’applications montre une intention financière directe, souvent synonyme d’opérations agressives et rapides visant à vider des comptes.
Signes d’infection à repérer
Il existe des comportements anormaux qui doivent alerter :
Ouverture automatique de Script Editor ou de fenêtres de scripts sans action explicite de l’utilisateur.
Demandes répétées du mot de passe système dans des contextes inhabituels (hors installation officielle ou mise à jour connue).
Applications de wallets qui se comportent différemment (fenêtres manquantes, notifications étranges, adresses de réception modifiées).
Traces d’activité réseau sortante vers des serveurs non identifiés ou vers des services de messagerie automatisée (ex. bots Telegram).
Mesures immédiates pour les utilisateurs
Face à ce type de menace, la prudence et quelques bonnes pratiques techniques peuvent limiter le risque :
Téléchargez toujours les logiciels depuis le site officiel du fournisseur ou via des sources de confiance vérifiées (App Store, pages éditeur officielles).
Ne lancez jamais un installateur à partir d’un lien douteux reçu par mail ou via des sites non vérifiés.
Si Script Editor s’ouvre sans raison, ne validez jamais l’exécution d’un script et fermez la fenêtre ; signalez l’incident au support si nécessaire.
Activez l’authentification forte et protégez vos wallets crypto avec des dispositifs hardware (cold wallets) plutôt que de stocker des clés privées dans des applications desktop vulnérables.
Révisez régulièrement les extensions de navigateur et supprimez celles que vous n’utilisez pas ; méfiez‑vous des extensions wallets récemment installées ou mises à jour.
Maintenez macOS et vos applications à jour : bien que Reaper contourne certaines protections, avoir la dernière version du système réduit la surface d’attaque.
Pour les équipes de sécurité et administrateurs
Les organisations doivent enrichir leurs contrôles :
Surveiller les commandes AppleScript exécutées de manière anormale et mettre en place des règles EDR (Endpoint Detection & Response) pour détecter les patterns de SHub (exfiltration vers Telegram, création de scripts déguisés en updates).
Restreindre l’exécution d’AppleScript aux applications validées via des politiques MDM (Mobile Device Management) et limiter les droits d’exécution pour les utilisateurs non‑administrateurs.
Segmenter le réseau et limiter les connexions sortantes non indispensables depuis les postes de travail pour empêcher l’envoi automatique de données vers des infrastructures malveillantes.
Mener des campagnes de sensibilisation ciblées sur l’ingénierie sociale et la manipulation des installateurs — les faux sites d’applications sont un vecteur majeur.
Que faire en cas d’infection suspectée
Si vous suspectez une compromission :
Déconnectez la machine du réseau immédiatement (débrancher Ethernet, désactiver Wi‑Fi).
Changez les mots de passe depuis un autre poste sain et révoquez les sessions actives sur les services sensibles (webmail, comptes bancaires, plateformes crypto).
Contactez un spécialiste en réponse aux incidents pour analyser la compromission et nettoyer le système : l’éradication d’une backdoor réclame souvent une réinstallation propre et une révision des clés et certificats locaux.
La variante Reaper de SHub rappelle que macOS n’est pas immunisé contre des menaces sophistiquées et qu’une combinaison d’ingénierie sociale et d’abus des outils système peut suffire à compromettre des postes. La vigilance, la limitation des droits d’exécution et l’usage de protections additionnelles (EDR, MDM, hardware wallets) restent les meilleurs leviers pour réduire le risque.
