Voleur de nouilles : une menace discrète à la vue de tous
Alors que l'intelligence artificielle révolutionne tout, de l'art à l'automatisation, les cybercriminels ont trouvé un nouveau moyen d'exploiter cette fascination. Une souche de malware, baptisée Noodlophile Stealer , a émergé, se faisant passer pour un logiciel d'IA de pointe pour attirer des utilisateurs peu méfiants.
Table of Contents
Qu'est-ce que Noodlophile Stealer ?
Noodlophile Stealer est un malware de collecte d'informations qui se fait passer pour des outils d'IA légitimes pour la génération d'images et de vidéos. Sous couvert de campagnes marketing astucieuses et d'interfaces utilisateur convaincantes, ce malware incite les utilisateurs à le télécharger en leur faisant croire qu'ils accèdent à des plateformes de création de contenu nouvelle génération. Une fois installé, il détourne discrètement les mots de passe des navigateurs, les données des portefeuilles de cryptomonnaies et d'autres informations privées des utilisateurs.
Le malware semble provenir d'un développeur vietnamien qui se présente comme un « développeur passionné de malwares » sur GitHub . Son compte, créé en mars 2025, correspond à la chronologie de l'essor de cette campagne.
Une approche différente de la cybercriminalité
Contrairement aux méthodes traditionnelles d'hameçonnage ou aux sites web de logiciels piratés, les opérateurs de Noodlophile utilisent une stratégie plus sophistiquée et sociale. De fausses plateformes axées sur l'IA sont promues via des pages Facebook bien conçues et des publications virales sur les réseaux sociaux. Certaines de ces pages, comme « Luma Dreammachine AI » et « gratistuslibros », ont enregistré des dizaines de milliers de vues grâce à des publications vantant des outils d'IA puissants et gratuits.
Ces publications sont conçues pour attirer l'attention des utilisateurs à la recherche d'outils innovants de montage vidéo ou d'image. Après avoir cliqué, les utilisateurs sont redirigés vers des sites web frauduleux ressemblant à des services légitimes comme CapCut AI, où ils sont encouragés à télécharger du contenu ou des suggestions.
Du téléchargement à l'infection
Après avoir interagi avec ces plateformes trompeuses, les utilisateurs sont invités à télécharger le contenu supposé généré par l'IA. Cependant, au lieu de recevoir un résultat utile, ils reçoivent un fichier ZIP nommé « VideoDreamAI.zip » . Ce fichier contient un fichier exécutable déguisé en un nom trompeur, comme « VideoDream MachineAI.mp4.exe » .
Au lancement, ce fichier semble exécuter un véritable programme de montage vidéo, utilisant probablement un binaire réel associé à CapCut. Mais en arrière-plan, il charge une chaîne de logiciels malveillants supplémentaires, déployant finalement le voleur Noodlophile.
Le processus d'infection est multicouche : un chargeur .NET connu sous le nom de CapCutLoader active une charge utile basée sur Python appelée srchost.exe , qui termine le déploiement du malware.
Que peut faire Noodlophile ?
Une fois sur la machine de la victime, le voleur Noodlophile commence à extraire des données. Il cible les identifiants de navigateur web, les informations de connexion et les informations de portefeuille de cryptomonnaies : tout ce qui pourrait être monétisé ou exploité. Dans certains cas, le malware est fourni avec des outils supplémentaires, tels que des chevaux de Troie d'accès à distance comme XWorm , qui permettent aux attaquants de contrôler durablement le système infecté.
Cette combinaison de comportement furtif et de vol de données puissant fait de Noodlophile une menace redoutable, surtout compte tenu de son apparence extérieure bénigne.
Vue d'ensemble : l'IA, une arme à double tranchant
L'essor des faux outils d'IA utilisés comme appâts dans les cybercampagnes n'est pas propre à Noodlophile. Des tactiques similaires ont déjà été utilisées. En 2023, Meta a signalé avoir supprimé plus de 1 000 URL liées à des campagnes de malwares exploitant l'image de marque de l'IA, notamment des références à ChatGPT d'OpenAI. Ces liens s'inscrivaient dans le cadre d'une campagne plus vaste visant à diffuser des malwares via des réseaux sociaux de confiance.
L'attrait des technologies d'IA est devenu un puissant appât pour les acteurs malveillants, conscients de l'engouement des utilisateurs pour de nouveaux outils. Cet engouement, combiné à une sensibilisation limitée à la cybersécurité, crée les conditions idéales pour une infection.
Implications et précautions
L'émergence de Noodlophile Stealer met en lumière l'évolution de la cybercriminalité. Il ne s'agit plus seulement d'e-mails suspects ou de téléchargements douteux. Les attaquants exploitent désormais les réseaux sociaux de confiance, les marques professionnelles et les tendances technologiques populaires pour diffuser des logiciels malveillants.
Pour les utilisateurs, le principal message à retenir est la prudence. Avant de télécharger un outil d'IA – ou tout autre logiciel – il est essentiel de vérifier la légitimité de la source. Consulter les sites web officiels, rechercher des avis crédibles et se méfier de ce qui est trop beau pour être vrai peut éviter de graves problèmes.
Les chercheurs en sécurité suggèrent également aux organisations de mettre à jour leurs outils de détection des menaces pour identifier les nouvelles familles de logiciels malveillants comme Noodlophile, en particulier celles qui ne s'appuient pas sur des techniques traditionnelles de persistance ou d'anti-analyse.
Réflexions finales
Noodlophile Stealer nous rappelle que les cybermenaces continuent de s'adapter aux tendances technologiques. Si son nom peut paraître anodin, sa fonction l'est tout autant. L'intelligence artificielle étant fortement intégrée à nos outils quotidiens, rester informé et vigilant est le meilleur moyen d'éviter d'être victime de telles campagnes trompeuses.
