Kaspersky a découvert un nouveau framework de malware ciblant les investisseurs en crypto dans un rapport publié mercredi. Baptisé OkoBot, le malware lance une chaîne d’infection via des tactiques d’ingénierie sociale telles que ClickFix, qui pousse les utilisateurs à exécuter des commandes malveillantes, ou encore des applications GitHub trojanisées qui déploient une porte dérobée sur les appareils infectés. Kaspersky a identifié plusieurs attaques impliquant cette famille de malwares depuis janvier 2026. Le malware peut moissonner des fichiers de portefeuilles crypto, des données de navigateur et des identifiants d’utilisateurs, injecter des extensions malveillantes et capturer les fenêtres des applications de portefeuille afin de dérober des actifs. Le framework de malware a évolué à partir de TookPS, une campagne malveillante d’abord identifiée en 2025, qui diffusait un téléchargeur de Trojan via de faux sites web logiciels.
Le framework OkoBot fonctionne via une architecture de tunnel SSH
OkoBot se distingue des campagnes précédentes en orchestrant l’ensemble des 20 charges utiles malveillantes via un tunnel SSH, ce qui permet le transport à distance de données depuis des ordinateurs infectés vers des machines distantes contrôlées par des attaquants. Kaspersky a ajouté que ce framework ouvre la porte à des attaques de copie.
![Original OkoBot infection chain. Source: Kaspersky]()
De fausses campagnes LinkedIn ciblent les développeurs Web3 via des dépôts GitHub malveillants
Une autre campagne de malware cherche à infiltrer les appareils de développeurs Web3 via de fausses opportunités de recrutement sur LinkedIn, selon SlowMist. Les attaquants contactent des développeurs blockchain via LinkedIn, en se faisant passer pour des recruteurs Web3, a indiqué la société de cybersécurité blockchain dans un rapport publié samedi. Ils envoient ensuite de faux dépôts GitHub aux victimes, en prétendant qu’ils contenaient le produit minimum viable à tester avant l’entretien.
Le déroulé ressemble de près à un entretien technique légitime, dans lequel les développeurs récupèrent du code, installent des dépendances et lancent un projet, ce qui rend l’attaque difficile à repérer, d’après SlowMist. Le malware vise à livrer un Trojan d’accès à distance complet qui infecte des appareils, permettant aux attaquants de voler des clés de projet, des identifiants cloud ou des données d’extension de portefeuille à partir de ces développeurs.
SlowMist a écrit que cette attaque n’est pas un cas isolé, ajoutant que des incidents récents montrent que les attaquants exploitent de plus en plus des scénarios tels que le recrutement, les revues de code et les collaborations de projets pour piéger des développeurs en les amenant à exécuter activement des dépôts malveillants. Le rapport est paru un jour après que SlowMist a averti d’une campagne de malware distincte visant les utilisateurs de macOS, dans le but de voler leurs identifiants et de détourner leurs sessions Telegram afin, au final, de piéger des investisseurs en les poussant à entrer leurs phrases de récupération de portefeuille via de faux sites web.
FAQ
Qu’est-ce que le malware OkoBot et quand a-t-il été découvert ?
OkoBot est un framework de malware qui cible les investisseurs en crypto que Kaspersky a découvert dans un rapport publié mercredi. Kaspersky a identifié plusieurs attaques impliquant cette famille de malwares depuis janvier 2026. Le malware lance l’infection via des tactiques d’ingénierie sociale telles que ClickFix ou des applications GitHub trojanisées et peut moissonner des fichiers de portefeuilles crypto, des données de navigateur, des identifiants d’utilisateurs, injecter des extensions malveillantes et capturer les fenêtres des applications de portefeuille.
Comment de fausses campagnes de recrutement LinkedIn ciblent-elles les développeurs Web3 ?
Les attaquants contactent des développeurs blockchain via LinkedIn, en se faisant passer pour des recruteurs Web3, d’après le rapport de samedi de SlowMist. Ils envoient des dépôts GitHub factices aux victimes, en affirmant qu’ils contiennent un produit minimum viable qui doit être testé avant l’entretien. Le déroulé ressemble à un entretien technique légitime, où les développeurs récupèrent du code, installent des dépendances et lancent un projet, ce qui rend l’attaque difficile à repérer. Le malware délivre un Trojan d’accès à distance qui vole des clés de projet, des identifiants cloud ou des données d’extension de portefeuille.