bleepingcomputer.com détecté sur le web

macOS.Gaslight cible les outils IA avec de faux messages système

cybersecurity safety military cybersecurity north-korea prompt-injection ai-evasion

TL;DR

  • macOS.Gaslight embarque 38 faux messages système pour pousser les agents LLM de sécurité à interrompre l'analyse du malware.
  • L'implant utilise le Telegram Bot API comme canal C2 et un module Python pour voler les données des navigateurs et du Keychain macOS.
  • SentinelOne attribue cet outil avec haute confiance à des acteurs nord-coréens via la famille de signatures XProtect MACOS_BONZAI_COBUCH.

Plutôt que de s'attaquer au sandbox, macOS.Gaslight vise la couche que beaucoup d'équipes de sécurité ajoutent maintenant par-dessus : un agent LLM chargé de trier les samples. Découvert par SentinelOne et attribué avec haute confiance à des acteurs alignés sur la Corée du Nord, cet implant Rust embarque une charge utile de 3,5 Ko contenant 38 faux messages «système» conçus pour désorienter les outils d'analyse automatisés.

Ces messages contrefaits imitent des sorties légitimes d'un environnement d'analyse : expiration de token, kill pour épuisement mémoire, saturation de disque, échecs répétés d'opérations. Formatés en Markdown et parsemés de marqueurs de type {{DATA}}, ils cherchent à brouiller la frontière entre le contenu du sample et les instructions de confiance de l'agent LLM. Selon BleepingComputer, l'objectif est de faire «douter l'agent de sa propre session» et de l'amener à «interrompre, tronquer ou refuser» l'analyse.

Sur le plan fonctionnel, l'implant est complet. Son canal C2 repose sur le Telegram Bot API en mode polling avec chiffrement AES-GCM. Un module Python de 6,6 Ko collecte les historiques de terminal, la liste des applications, les processus actifs, le profil système, la base macOS Keychain et les données des navigateurs Chrome, Brave, Firefox et Safari. La persistance passe par un LaunchAgent portant l'étiquette com.apple.system.services.activity, qui emprunte l'espace de noms protégé d'Apple. L'attribution repose sur des corrélations avec la famille de signatures XProtect MACOS_BONZAI_COBUCH.

Ce que le rapport ne dit pas : si la technique a effectivement trompé des déploiements réels, ou si son efficacité reste à ce stade principalement théorique. On ignore également quels outils de sécurité spécifiques étaient visés. Pour les équipes SOC qui intègrent des agents LLM dans leurs pipelines de triage, la leçon pratique est directe : tout artefact soumis à l'analyse doit être traité comme une entrée potentiellement hostile pour le modèle, de la même façon qu'on traite l'entrée utilisateur dans une application web.