Quand cette campagne de logiciels malveillants a-t-elle débuté ?

La campagne de logiciels malveillants est active depuis juin 2025. Elle a déjà compromis plus de 90 hôtes depuis son lancement.

Quel type de fichier est utilisé pour distribuer le logiciel malveillant ?

Le logiciel malveillant est distribué via des fichiers d'installation MSI, qui constituent le format de paquetage Windows standard utilisé par de nombreux éditeurs de logiciels légitimes.

Que fait le logiciel malveillant une fois qu'il infecte un système ?

Le logiciel malveillant déploie un kit composé de trois modules qui effectue une reconnaissance système, active un enregistreur de frappes pour capturer les identifiants et les codes d'authentification à deux facteurs, et vole les mots de passe stockés dans le navigateur, les cookies de session et les données de remplissage automatique.

Pourquoi l'intégration en dur d'identifiants SSH et de jetons GitLab dans l'installateur est-elle considérée comme un risque de sécurité ?

Les identifiants codés en dur intégrés dans les fichiers d'installation sont lisibles par quiconque inspecte le binaire, ce qui peut exposer les serveurs de commande et de contrôle des attaquants ainsi que leurs dépôts de code aux défenseurs et aux enquêteurs.

L'utilisation d'un portefeuille matériel est-elle suffisante pour se protéger contre ce type d'attaque ?

Selon l'article, s'appuyer uniquement sur un portefeuille matériel ne constitue pas une protection suffisante contre cette campagne, car le logiciel malveillant cible les identifiants, les cookies de session et les frappes clavier qui peuvent contourner l'authentification sans nécessiter d'accès direct au portefeuille.

Un logiciel malveillant via installateur MSI cible les traders de cryptomonnaies depuis juin 2025

Une campagne de logiciels malveillants sophistiquée ciblant les traders de cryptomonnaies est discrètement active depuis juin 2025, exploitant une ruse d'une simplicité trompeuse mais efficace : l'intégration en dur d'identifiants SSH et de jetons GitLab directement dans des fichiers d'installation MSI. L'opération a déjà compromis plus de 90 hôtes et est spécifiquement conçue pour prendre le contrôle de comptes de trading de cryptomonnaies en combinant la reconnaissance système, l'enregistrement de frappes et le vol de données du navigateur en une seule chaîne d'attaque coordonnée. Pour quiconque détient ou négocie activement des actifs numériques, les mécanismes de cette campagne révèlent pourquoi s'appuyer uniquement sur un portefeuille matériel ne constitue pas une protection suffisante.

Comment fonctionne la campagne via installateur MSI : reconnaissance, enregistrement de frappes et vol de données du navigateur

L'attaque commence lorsqu'une cible exécute ce qui semble être un installateur MSI légitime, le format de paquetage Windows standard utilisé par d'innombrables éditeurs de logiciels. Une fois lancé, l'installateur déploie un kit malveillant composé de trois modules qui opèrent en séquence.

Le premier module effectue une reconnaissance système, cartographiant la configuration de l'hôte infecté, son environnement réseau et les logiciels installés. Cette étape offre à l'attaquant une vision claire de ce à quoi il a affaire avant de s'engager dans une intrusion plus profonde. Le deuxième module active un enregistreur de frappes, capturant tout ce que la victime saisit, notamment les identifiants de connexion aux plateformes d'échange, les codes d'authentification à deux facteurs et les phrases secrètes des portefeuilles. Le troisième module cible les données stockées dans le navigateur, extrayant les mots de passe enregistrés, les cookies de session et les entrées de remplissage automatique qui peuvent être utilisés pour contourner l'authentification sur les plateformes financières sans jamais avoir besoin directement du mot de passe du compte.

La combinaison est délibérée. L'enregistrement de frappes capture les identifiants en mouvement ; le vol de données du navigateur capture les identifiants au repos. Ensemble, ils laissent très peu de failles.

Pourquoi les identifiants codés en dur représentent un risque systémique

Ce qui rend cette campagne particulièrement remarquable du point de vue de la recherche en sécurité, ce n'est pas seulement ce qu'elle fait aux victimes, mais ce qu'elle révèle sur les attaquants eux-mêmes. L'intégration d'identifiants SSH codés en dur et de jetons GitLab dans l'installateur signifie que le logiciel malveillant porte un lien direct et statique vers sa propre infrastructure dorsale.

Il s'agit d'une défaillance de sécurité opérationnelle de la part de l'attaquant, et elle n'est pas propre à ce groupe. Lorsque des développeurs — qu'ils construisent des logiciels légitimes ou des outils malveillants — codent en dur des jetons d'authentification dans des fichiers compilés ou empaquetés, ces identifiants deviennent lisibles par quiconque inspecte le binaire. Pour les défenseurs, des identifiants codés en dur dans un logiciel malveillant peuvent exposer les serveurs de commande et de contrôle, les dépôts de code et même le flux de développement interne d'un acteur malveillant. Pour les victimes, la même faille susceptible d'aider les enquêteurs à retrouver les attaquants n'offre aucune protection une fois la compromission survenue.

Ce schéma reflète des tendances plus larges dans les logiciels malveillants ciblant le cloud. Comme rapporté dans l'article sur le logiciel malveillant PCPJack exploitant des identifiants cloud, les cadres de vol d'identifiants traitent de plus en plus les jetons mal sécurisés comme des proies faciles, qu'il s'agisse des jetons des victimes ou, dans ce cas, de ceux des attaquants eux-mêmes.

Qui est ciblé et comment les traders de cryptomonnaies sont spécifiquement visés

L'accent mis par la campagne sur les traders de cryptomonnaies n'est pas fortuit. Les comptes de cryptomonnaies présentent un profil cible particulièrement attrayant : ils détiennent souvent une valeur liquide significative, les transactions sont irréversibles une fois diffusées sur la blockchain, et de nombreux traders utilisent des interfaces web pour gérer leurs positions sur plusieurs plateformes d'échange simultanément.

Ce dernier point est crucial. Le trading via navigateur implique que les sessions stockées dans le navigateur, les cookies et les identifiants enregistrés constituent une voie d'accès directe aux comptes. Un attaquant qui capture un cookie de session valide depuis un navigateur peut souvent s'authentifier sur une plateforme d'échange sans déclencher de demande de mot de passe ou de double authentification, car la session elle-même est déjà authentifiée. Le composant d'enregistrement de frappes couvre ensuite tout scénario où le trader se déconnecte puis se reconnecte, capturant de nouveaux identifiants en temps réel.

Avec plus de 90 hôtes déjà confirmés comme compromis, l'ampleur de la campagne suggère une opération ciblée mais persistante plutôt qu'une approche de diffusion massive sans discernement. Les traders ayant téléchargé des logiciels depuis des sources non officielles ou non vérifiées depuis juin 2025 sont les plus exposés.

Comment les VPN, les gestionnaires d'identifiants et l'hygiène du navigateur réduisent votre surface d'attaque

Aucun outil unique n'élimine le risque que représente cette campagne, mais plusieurs pratiques réduisent sensiblement l'exposition.

Un VPN n'empêche pas l'exécution d'un logiciel malveillant une fois qu'il est déjà sur une machine, mais il réduit le risque d'interception du trafic et peut limiter la visibilité au niveau réseau que l'attaquant obtient durant la phase de reconnaissance. Plus important encore, utiliser systématiquement un VPN sur tous les appareils contribue à établir l'hygiène réseau comme une habitude plutôt qu'une réflexion après coup.

Les gestionnaires d'identifiants s'attaquent à l'un des vecteurs d'attaque principaux ici : les mots de passe stockés dans le navigateur. Lorsque les identifiants sont conservés dans un gestionnaire dédié et chiffré plutôt que dans le coffre-fort de mots de passe natif du navigateur, le vol de données du navigateur produit bien moins d'informations exploitables. La plupart des gestionnaires d'identifiants prennent également en charge la génération de mots de passe uniques et complexes pour chaque compte, ce qui limite les dégâts si un ensemble d'identifiants est capturé.

L'hygiène du navigateur est également importante. Les traders devraient envisager d'utiliser un profil de navigateur dédié, ou un navigateur entièrement séparé, exclusivement pour l'accès aux plateformes d'échange. Ce profil ne devrait contenir aucun mot de passe enregistré, aucune extension au-delà du strict nécessaire, et devrait être vidé de ses cookies après chaque session. Les cookies de session ne peuvent pas être volés depuis une session qui n'existe plus.

Enfin, la discipline dans l'installation de logiciels constitue la première ligne de défense. Les fichiers MSI obtenus en dehors des sites officiels des éditeurs ou des boutiques d'applications comportent un risque réel. Vérifier les hachages de fichiers, contrôler les signatures d'éditeurs, et considérer tout installateur nécessitant la désactivation des logiciels de sécurité comme un signal d'alarme immédiat peut prévenir l'exécution initiale qui rend tout le reste possible.

Ce que cela signifie pour vous

Si vous négociez activement des cryptomonnaies ou détenez des actifs numériques accessibles via une interface web, cette campagne constitue un avertissement direct. Les portefeuilles matériels protègent les fonds on-chain, mais ils ne protègent pas les comptes de plateforme d'échange, et c'est précisément là que ce logiciel malveillant est conçu pour causer des dommages.

Commencez par vérifier où se trouvent actuellement vos identifiants. Si vos mots de passe de plateforme d'échange sont enregistrés dans un navigateur, transférez-les vers un gestionnaire d'identifiants dédié et générez de nouveaux mots de passe uniques pour chaque plateforme. Passez en revue vos extensions de navigateur et supprimez tout ce que vous n'utilisez pas activement. Vérifiez votre historique de téléchargements pour tout installateur MSI obtenu depuis juin 2025 auprès de sources que vous ne pouvez pas vérifier.

La sophistication croissante des opérations de vol d'identifiants — des campagnes à jetons codés en dur décrites ici à l'exploitation multi-CVE documentée dans les cadres ciblant le cloud — fait de l'hygiène proactive des identifiants l'une des défenses les plus efficaces disponibles pour les utilisateurs individuels. Consacrer une heure à l'audit de votre configuration aujourd'hui est considérablement moins douloureux que de se remettre d'une prise de contrôle de compte demain.