PamStealer est un infostealer macOS en deux étapes, documenté pour la première fois par Jamf Threat Labs le 2 juillet 2026. Le malware se propage via un site de typosquatting (maccyapp[.]com) imitant le gestionnaire de presse papiers légitime Maccy.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Un nouveau dangereux infostealer pour Mac, baptisé PamStealer, sévit actuellement. Sa technique est particulièrement sournoise : au lieu de se contenter de capturer ce que vous tapez dans une fausse fenêtre, il vérifie votre mot de passe en temps réel via le système d'authentification officiel d'Apple, les Pluggable Authentication Modules (PAM). Ainsi, les cybercriminels sont certains de récupérer des identifiants valides, et non des fautes de frappe. Découvert et documenté par les experts de Jamf Threat Labs le 2 juillet 2026 , PamStealer marque une évolution inquiétante dans le vol d'identifiants sur macOS.
Le point d'entrée est un site de typosquatting (une adresse web qui imite une adresse légitime) : maccyapp[.]com. Ce site se fait passer pour celui du gestionnaire de presse-papiers Maccy, un outil open-source très populaire. Le vrai Maccy n'est accessible que via maccy.app, Homebrew ou sa page GitHub officielle . Le site légitime met d'ailleurs en garde contre ces copies
.
Lorsque vous visitez ce faux site, on vous propose de télécharger un fichier .dmg. À l'intérieur, vous trouvez un fichier AppleScript compilé nommé Maccy.scpt . Il est important de savoir que le véritable Maccy n'a jamais été distribué sous forme de DMG ; il est uniquement disponible en
Maccy.app.zip .
Si vous double-cliquez sur ce fichier .scpt, macOS l'ouvre par défaut dans Script Editor. La partie visible du fichier affiche des instructions semblant officielles, vous invitant à appuyer sur la combinaison de touches ⌘+R pour « démarrer ». En réalité, le code malveillant est caché bien plus bas, après une longue série de lignes vides . Pour brouiller les pistes et échapper aux scanners, le texte utilise des homoglyphes grecs et cyrilliques dans le mot « Maccy »
.
La deuxième étape de l'attaque est un infostealer en Rust (un langage de programmation performant et moins courant sur macOS, ce qui complique l'analyse par les virus) . Il collecte un large éventail de données :
pam_start, pam_authenticate, pam_end) sans aucune activité visible dans le Terminal ethereum-rpc.publicnode[.]com Toutes les données volées sont chiffrées avec l'algorithme ChaCha20-Poly1305 (un chiffrement moderne et robuste) et exfiltrées via une connexion HTTPS vers les serveurs des attaquants (les noms de domaine avenger-sync[.]live et avengerflow[.]com ont été observés), emballées dans un format JSON (MacOSapp1{"data":"..."}) .
Avant de lancer la charge utile, le programme d'installation (dropper) signe ad hoc le faux paquet d'application avec la commande codesign -fs - --deep. Le malware vérifie également la présence d'outils de débogage et l'état de la protection d'intégrité du système (SIP) avant d'agir
.
La charge utile de la deuxième étape est dissimulée dans un paquet nommé Finder.app avec un identifiant de paquet com.apple.finder.monitor. Il copie même l'icône authentique de l'application Finder depuis /System/Library/CoreServices/ . Le logiciel malveillant utilise ensuite
pbpaste pour dérober le contenu du presse-papiers. Par conséquent, si vous ouvrez le Moniteur d'activité, vous pourriez voir deux processus Finder tourner, dont l'un effectue des opérations de lecture du presse-papiers — un signe très suspect .
Pour s'assurer de survivre à un redémarrage, PamStealer établit sa persistance via les Éléments de connexion (Login Items) et non via les LaunchAgents ou LaunchDaemons traditionnels. Il utilise à la fois la nouvelle API SMAppService et l'ancienne API LSSharedFileList. Les paquets malveillants sont nommés de manière à ressembler à des composants système : com.apple.finder.monitor et com.apple.security.daemon (se faisant passer pour une mise à jour logicielle) . Comme le panneau des Éléments de connexion dans les Réglages Système n'affiche pas les chemins complets, ces entrées peuvent facilement passer pour des processus système légitimes
.
curl ou osascript maccy.app, ou via Homebrew / le dépôt GitHub officiel. Le vrai projet est open-source (licence MIT) et développé par Alexey Rodionov .scpt trouvé sur Internet (surtout dans un fichier DMG téléchargé) et n'appuyez pas sur le bouton Exécuter. Aucun logiciel macOS légitime ne vous demandera de faire cela com.apple.finder.monitor) que vous n'auriez pas ajoutées intentionnellement Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer est un infostealer macOS en deux étapes, documenté pour la première fois par Jamf Threat Labs le 2 juillet 2026.
PamStealer est un infostealer macOS en deux étapes, documenté pour la première fois par Jamf Threat Labs le 2 juillet 2026. Le malware se propage via un site de typosquatting (maccyapp[.]com) imitant le gestionnaire de presse papiers légitime Maccy.
PamStealer vole les mots de passe de connexion (via une fausse boîte de dialogue), les données du trousseau (Keychain) d'Apple, les identifiants des navigateurs, les cookies, les données des extensions de portefeuille...