Un malware macOS, baptisé Gaslight, ne se contente pas de cacher ses traces. Il embarque aussi de faux messages conçus pour perturber les outils d’analyse assistés par IA. Une manière assez nouvelle de jouer avec les usages des analystes, à l’heure où les grands modèles de langage commencent à s’inviter dans les workflows de cybersécurité.
Quand le malware tente de parler à l’IA
Les malwares savent depuis longtemps repérer certains environnements d’analyse. Sandbox, machines virtuelles, débogueurs, artefacts de laboratoire : ces techniques d’évasion font partie du paysage cyber. Gaslight, repéré par SentinelLabs, ajoute une couche plus inattendue. L’échantillon ne cherche pas seulement à masquer son comportement. Il tente aussi de fausser la lecture qu’un assistant IA pourrait faire de son code.
Le malware, écrit en Rust, contient un bloc de prompt injection présenté sous forme Markdown. Selon les chercheurs, ce bloc regroupe 38 messages fabriqués pour ressembler à des signaux internes d’un outil d’analyse. On y trouve de fausses alertes d’expiration de jetons, de manque de mémoire, d’espace disque saturé ou encore d’échecs répétés. L’idée n’est pas de casser l’outil, mais de pousser un modèle à interpréter ces contenus comme des instructions ou des erreurs système.
L’effet recherché est assez simple : semer le doute, ralentir l’analyse, provoquer une réponse moins utile, voire inciter l’assistant à interrompre son travail. Autrement dit, le fichier malveillant ne se contente plus d’être observé. Il tente de prendre la parole dans l’environnement qui l’observe.
Derrière l’astuce, une vraie backdoor
Le côté insolite ne doit pas faire oublier la fonction première de Gaslight. L’échantillon décrit par SentinelLabs est aussi une backdoor macOS, avec des capacités de commande et contrôle grâce à l’API Bot de Telegram. Les opérateurs peuvent l’utiliser pour exécuter des instructions, envoyer des fichiers et maintenir une interaction avec la machine compromise.
Gaslight intègre également des fonctions de vol d’informations. Les chercheurs évoquent la collecte de données issues de navigateurs comme Chrome, Brave, Firefox ou Safari, l’accès à des historiques de terminal, à la liste des applications installées, à des informations système et à une copie du trousseau macOS. Une partie de la collecte passerait par un module Python encodé, chargé de rassembler les données avant leur exfiltration.
L’échantillon prévoit aussi quelques précautions pour gêner les défenseurs. Il peut notamment supprimer son jeton Telegram de certains artefacts d’exécution ou de crash, afin d’éviter que cet élément ne soit récupéré trop facilement.
Les assistants IA entrent dans le champ de l’attaque
Gaslight n’est pas le premier cas de prompt injection glissée dans un malware. En 2025, Check Point Research avait déjà documenté un échantillon contenant une tentative d’instruction adressée aux modèles susceptibles d’analyser le fichier. Mais ce nouvel exemple montre que les attaquants observent l’arrivée de l’IA dans les pratiques défensives et commencent à tester ses angles morts.
Il ne faut pas en conclure que tous les assistants IA se laisseraient piéger. Les éléments publiés ne montrent pas que la technique fonctionnerait systématiquement, ni qu’elle aurait empêché l’identification du malware. Le signal est plus intéressant que cela : dès qu’un modèle lit un contenu non fiable pour le résumer, le qualifier ou aider à produire un rapport, ce contenu peut chercher à influencer sa réponse.
