Kaspersky a découvert un nouveau framework de malware visant les investisseurs en cryptomonnaie, d’après un rapport publié mercredi. Baptisé OkoBot, le malware lance des chaînes d’infection au moyen de tactiques d’ingénierie sociale telles que ClickFix et d’applications GitHub piégées, qui délivrent des portes dérobées aux appareils infectés. Kaspersky a identifié plusieurs attaques impliquant cette famille de malware depuis janvier 2026. Le malware a évolué à partir de TookPS, une campagne repérée pour la première fois en 2025, qui distribuait un téléchargeur de Trojan via de faux sites web de logiciels. Par ailleurs, SlowMist a indiqué samedi qu’une campagne de malware vise les développeurs Web3 via de fausses opportunités de recrutement sur LinkedIn, qui délivrent des trojans d’accès à distance via des dépôts GitHub malveillants présentés comme des supports d’entretien technique.
Le framework OkoBot récolte des fichiers de portefeuilles via une architecture de tunnel SSH
Le malware OkoBot peut récolter des fichiers de portefeuilles de crypto, des données de navigateur et des identifiants utilisateur, injecter des extensions malveillantes et capturer des fenêtres d’applications de portefeuille pour voler des actifs, a écrit Kaspersky dans le rapport. Le framework se distingue des campagnes précédentes en orchestrant l’ensemble des 20 charges utiles malveillantes via un tunnel SSH, permettant le transport à distance des données depuis des ordinateurs infectés vers des machines distantes contrôlées par les attaquants. Kaspersky a ajouté que le framework de malware ouvre la voie à des attaques par copie.
De faux recruteurs LinkedIn livrent des trojans via des dépôts GitHub
Les attaquants contactent les développeurs blockchain via LinkedIn, en se faisant passer pour des recruteurs Web3, d’après SlowMist. Ils envoient aux victimes de fausses dépôts GitHub, en prétendant qu’ils contenaient le produit minimum viable qu’il fallait tester avant l’entretien, a déclaré l’entreprise de sécurité blockchain dans un rapport publié samedi. Le déroulé ressemble étroitement à un entretien technique légitime, au cours duquel les développeurs récupèrent le code, installent les dépendances et lancent un projet, ce qui rend l’attaque difficile à remarquer. Le malware vise à délivrer un trojan d’accès à distance complet qui infecte des appareils, permettant aux attaquants de voler des clés de projet, des identifiants cloud ou des données d’extensions de portefeuille à partir de ces développeurs.
SlowMist relie l’attaque à une campagne plus large visant les développeurs
SlowMist a indiqué que cette attaque ne constitue pas un cas isolé, ajoutant que des incidents récents montrent que les attaquants exploitent de plus en plus des scénarios tels que le recrutement, les revues de code et les collaborations de projet pour tromper les développeurs en les poussant à exécuter activement des dépôts malveillants. Le rapport a été publié un jour après que SlowMist a mis en garde contre une campagne de malware distincte visant les utilisateurs de macOS, dont l’objectif était de voler leurs identifiants et de détourner leurs sessions Telegram afin, au final, d’amener les investisseurs à saisir leurs phrases de récupération de portefeuille via de faux sites web.
FAQ
Qu’est-ce que le malware OkoBot et quand a-t-il été identifié ?
OkoBot est un framework de malware visant les investisseurs en cryptomonnaie que Kaspersky a découvert dans un rapport publié mercredi. Kaspersky a identifié plusieurs attaques impliquant cette famille de malware depuis janvier 2026. Le malware lance des chaînes d’infection au moyen de tactiques d’ingénierie sociale telles que ClickFix et d’applications GitHub piégées.
Comment la campagne de recrutement LinkedIn factice cible-t-elle les développeurs Web3 ?
Les attaquants contactent les développeurs blockchain via LinkedIn, en se faisant passer pour des recruteurs Web3, d’après le rapport de samedi de SlowMist. Ils envoient de fausses dépôts GitHub aux victimes, en prétendant qu’ils contenaient le produit minimum viable qu’il fallait tester avant l’entretien. Le déroulé ressemble à un entretien technique légitime, ce qui rend l’attaque difficile à remarquer.
Quelles données le malware OkoBot vole-t-il sur les appareils infectés ?
Le malware OkoBot peut récolter des fichiers de portefeuilles de crypto, des données de navigateur et des identifiants utilisateur, injecter des extensions malveillantes et capturer des fenêtres d’applications de portefeuille pour voler des actifs, selon Kaspersky. Le framework orchestre l’ensemble des 20 charges utiles malveillantes via un tunnel SSH, permettant le transport à distance des données depuis des ordinateurs infectés vers des machines contrôlées par les attaquants.