Des chercheurs de Push Security ont identifié, le 29 mai 2026, une campagne baptisée LLMShare. Dans ce cadre, des criminels ont abusé des ressources légitimes de ChatGPT pour diffuser des logiciels malveillants. Le détail le plus perturbant est simple : l’attaque s’exécutait à partir d’une adresse réelle d’OpenAI.
Pour les développeurs et les équipes de sécurité, ce cas offre une leçon directe. En effet, la frontière entre une instruction fiable et une commande malveillante devient de plus en plus fine.
ChatGPT: Pourquoi un domaine légitime a trompé les pare-feu
Tout a commencé par des annonces sponsorisées sur Google. Les criminels ont acheté des termes très recherchés, tels que “ChatGPT desktop app” et “ChatGPT download”. Ensuite, celui qui cliquait était dirigé vers une URL authentique au sein du domaine chatgpt.com.
Voici le problème. Les pare-feu d’entreprise inspectent généralement la destination du clic. Donc, en voyant un domaine légitime d’OpenAI, ils autorisaient le trafic sans vérifier le contenu de la page.
Autrement dit, la réputation du domaine fonctionnait comme un laissez-passer. De cette manière, l’attaque a contourné justement la couche qui aurait dû la bloquer.
InstallFix: quand le terminal devient l’arme
La technique employée s’inscrit dans la catégorie InstallFix, une variante de la famille ClickFix. Concrètement, ces attaques exploitent une habitude nouvelle : les outils d’IA ont popularisé l’usage de commandes dans le terminal chez des personnes sans bagage technique.
Le résultat est prévisible. Beaucoup d’utilisateurs ne distinguent pas une instruction légitime d’une instruction malveillante. Ainsi, copier-coller une commande est devenu un geste presque automatique.
Pour les développeurs, l’alerte est double. D’abord, parce que l’équipe produit elle-même colle des commandes suggérées. Ensuite, parce que le même schéma peut toucher les pipelines et les machines de build.
L’astuce du rendu qui a monté la page fausse dans ChatGPT
Dans l’URL réelle, les intrus ont utilisé la fonction de rendu de code de ChatGPT. Grâce à elle, ils ont monté une page factice montrant une instabilité. Le message disait que la version web de l’assistant était temporairement indisponible.
Ensuite, le texte guidait la victime pour télécharger une prétendue application de bureau. Puis, l’utilisateur était redirigé vers le site openew.app. Cette adresse imitait l’apparence d’une page officielle de téléchargement.
Rendu conditionnel ChatGPT : comment le site a contourné URLScan
Le site malveillant avait encore une carte dans sa manche. Pour échapper aux analyses automatiques, il utilisait le rendu conditionnel. En pratique, le contenu changeait selon l’utilisateur qui accédait.
Quand des outils comme URLScan visitaient l’adresse, le site affichait une façade inoffensive d’une société de réalité virtuelle. Cependant, les utilisateurs réels voyaient le piège complet, avec le téléchargement du logiciel malveillant autorisé.
Par conséquent, le domaine passait les vérifications sans éveiller les soupçons. Pendant ce temps, il restait actif et nocif pour les victimes.
Odyssey Stealer: ce que cherchait le malware sur macOS
Les exécutables malveillants ciblaient Windows et macOS. Sur macOS, la charge utile identifiée était Odyssey Stealer, une variante du Atomic macOS Stealer.
Ce type de logiciel malveillant vise des cibles claires. Il récupère les mots de passe sauvegardés dans le navigateur, les portefeuilles de cryptomonnaies et des tokens de session. Ces tokens, rappelons-le, maintiennent l’utilisateur connecté à des services. Les voler équivaut donc à prendre en otage des sessions entières sans nécessiter le mot de passe.
ChatGPhish et ClaudeBleed: un motif qui se répète
La campagne LLMShare n’est pas un cas isolé. Bien au contraire, les assistants IA sont devenus des cibles fréquentes précisément à cause de la confiance qu’ils inspirent.
Récemment, Permiso Security a décrit le ChatGPhish. Dans cette technique, n’importe quelle page peut intégrer des instructions cachées que ChatGPT suit lorsqu’il résume un contenu. En conséquence, des alertes fausses apparaissent directement dans l’interface de l’assistant.
Parallèlement, LayerX a dévoilé ClaudeBleed. Il s’agit d’une faille dans l’extension officielle de Claude pour Chrome. Grâce à elle, toute extension malveillante du navigateur pouvait prendre le contrôle de l’assistant sans permission particulière.
Ce que les développeurs peuvent faire dès maintenant
La leçon centrale est inconfortable mais utile. Faire confiance à un domaine n’est pas la même chose que faire confiance au contenu rendu par lui.
Alors, il faut revoir certaines pratiques au quotidien :
- Ne traitez pas les listes blanches de domaines comme une inspection du contenu. De plus, combinez la réputation d’un domaine avec l’analyse de ce qui est réellement rendu.
- Méfiez-vous de toute commande de terminal suggérée par une IA. Avant d’exécuter, lisez-la ligne par ligne.
- Téléchargez les applications uniquement depuis les magasins officiels ou le site vérifié du fournisseur.
- Formez l’équipe sur les attaques ClickFix et InstallFix. Après tout, l’élément humain demeure le vecteur privilégié.
En résumé, la campagne LLMShare révèle une frontière nouvelle. Désormais, l’ingénierie sociale s’installe au sein des outils que nous utilisons chaque jour. Par conséquent, la vigilance doit suivre ce changement.
Suivez notre profil sur Instagram !
