Si l’on en croit le dernier rapport de sécurité de SentinelOne, macOS reste toujours l’une des cibles privilégiées des hackers nord-coréens. Et en 2023, RustBucket et KandyKorn ont été de loin les deux malwares les plus actifs sur Mac. RustBucket utilise le malware SwiftLoader – écrit en AppleScript et en Swift –  comme visualiseur PDF, le tout relié à un faux document PDF « leurre » envoyé directement dans la boite mail des victimes. De son côté, KandyKorn – écrit en scripts Python – s’attaque à la blockchain d’une plateforme d’échange de cryptos. Le malware parvient à installer une porte dérobée RAT (cheval de Troie d’accès à distance) sur les systèmes cibles.

Les chercheurs en sécurité notent que SwiftLoader s’est démultiplié en de nombreuses variations, dont certaines peuvent fonctionner à la fois sur des PC Intel et sur des Mac. L’une des variantes du malware est incluse dans le fichier « Crypto-assets and their risks for financial stability.app.zip »  et dispose d’éléments qui la rattache aussi à KandyKorn, ce qui indique assez clairement que les hackers ont combiné les deux malwares en un seul, une combinaison que l’on retrouve d’ailleurs dans plusieurs variantes. Pour les chercheurs de SentinelOne, c’est aussi l’indice que les hackers nord coréens réutilisent sans doute les infrastructure qui avaient été mises en place à l’origine pour les malwares RustBucket et KandyKorn.

La meilleure façon de se protéger de ces petites pestes consiste à rester prudent : ne pas ouvrir de documents dont on ne connait pas la provenance, être vigilant concernant les mises à jour de sécurité, installer un antivirus, etc.