Code malveillant sur GitHub : comment les pirates informatiques ciblent les programmeurs

Nous avons découvert plus de 200 référentiels avec de faux projets sur GitHub. En les utilisant, les attaquants distribuent des logiciels voleurs, des clippers et des portes dérobées.

Pouvez-vous imaginer un monde où, chaque fois que vous souhaitez vous rendre quelque part, vous devez réinventer la roue et construire un vélo à partir de zéro ? Nous ne le pouvons pas non plus. Pourquoi réinventer quelque chose qui existe déjà et qui fonctionne à merveille ? La même logique s’applique à la programmation : les développeurs sont confrontés chaque jour à des tâches routinières et, au lieu d’inventer leurs propres roues et vélos (qui pourraient même ne pas être au point), ils se contentent de récupérer des codes vélos prêts à l’emploi dans les référentiels open source de GitHub.

Cette solution est accessible à tous, y compris aux criminels qui utilisent le meilleur code source libre du monde comme appât pour leurs attaques. Les preuves ne manquent pas, et voici la dernière en date : nos experts ont découvert une campagne malveillante active, GitVenom, ciblant les utilisateurs de GitHub.

Qu’est-ce que GitVenom ?

GitVenom, c’est ainsi que nous avons nommé cette campagne malveillante, dans laquelle des acteurs inconnus ont créé plus de 200 référentiels contenant de faux projets avec du code malveillant : des bots Telegram, des outils pour pirater le jeu Valorant, des utilitaires d’automatisation d’Instagram et des gestionnaires de portefeuilles Bitcoin. À première vue, tous les référentiels semblent authentiques. Il est à noter que le fichier README.MD, un guide sur la façon d’utiliser le code, est très bien conçu et contient des instructions détaillées en plusieurs langues. En plus de cela, les pirates ajoutent souvent plusieurs balises à leurs référentiels.

Ils utilisent l'IA pour rédiger des instructions détaillées dans plusieurs langues

Ils utilisent l’IA pour rédiger des instructions détaillées dans plusieurs langues

Un autre facteur renforçant la légitimité apparente de ces référentiels est le grand nombre de commits. Les référentiels des attaquants en contiennent des dizaines de milliers. Bien entendu, les auteurs des attaques ne mettaient pas à jour manuellement chacun des 200 référentiels pour en préserver l’authenticité, mais utilisaient simplement des fichiers d’horodatage mis à jour toutes les quelques minutes. La combinaison d’une documentation détaillée et de nombreuses validations crée l’illusion que le code est authentique et peut être utilisé en toute sécurité.

GitVenom : deux années d’activité

La campagne a commencé il y a longtemps : le plus ancien faux référentiel que nous ayons trouvé date d’il y a environ deux ans. Entre-temps, GitVenom a touché des développeurs en Russie, au Brésil, en Turquie et dans d’autres pays. Les pirates informatiques ont exploité un large éventail de langages de programmation : du code malveillant a été trouvé dans des référentiels Python, JavaScript, C, C# et C++.

En ce qui concerne la fonctionnalité de ces projets, les caractéristiques décrites dans le fichier README ne correspondent même pas au code réel. En réalité, le code ne fait pas la moitié de ce qu’il prétend. Mais « grâce » à lui, les victimes finissent par télécharger des composants malveillants. Les voici :

  • js: un logiciel voleur qui collecte les noms d’utilisateur et les mots de passe, les données des portefeuilles de cryptomonnaies ainsi que l’historique des navigateurs, rassemble les données volées dans une archive .7z et l’envoie aux cybercriminels via Telegram.
  • AsyncRAT: un cheval de Troie d’administration à distance open source, qui peut également servir d’enregistreur de frappe.
  • Quasar: une porte dérobée open source.
  • Un clipper qui recherche dans le presse-papiers les adresses de portefeuilles de cryptomonnaies et les remplace par des adresses contrôlées par l’attaquant. Fait notable, en novembre 2024, le portefeuille du pirate utilisé dans cette attaque a reçu un dépôt unique d’environ 5 BTC (environ 377 000 Euro au moment de l’étude).

Pour en savoir plus sur les détails de cette campagne malveillante, consultez notre étude complète publiée sur SecureList.

Comment vous protéger des codes malveillants sur GitHub ?

En bref, la meilleure défense est la vigilance. Étant donné que plus de 100 millions de développeurs utilisent GitHub, les pirates informatiques continueront probablement à diffuser des codes malveillants via cette plateforme populaire. La seule question est de comprendre comment ils s’y prendront. Il y a dix ans, personne n’imaginait que des pirates informatiques seraient en mesure de mener des campagnes comme GitVenom pendant si longtemps et avec une telle ténacité. Chaque développeur se doit donc de maintenir une bonne cyberhygiène lorsqu’il utilise GitHub.

  • Analysez le code avant de l’intégrer dans un projet existant.
  • Utilisez une protection contre les programmes malveillants sur les ordinateurs et les smartphones.
  • Vérifiez soigneusement les indicateurs moins évidents: les comptes des contributeurs, le nombre d’étoiles (mentions J’aime) et la date de création du projet. Si le compte a été créé il y a trois jours, le référentiel il y a deux jours et qu’il n’a qu’une seule étoile, il y a de fortes chances que le projet soit frauduleux et que le code soit malveillant.
  • Ne téléchargez pas de fichiers à partir de liens directs vers GitHub partagés dans des discussions, sur des canaux suspects ou sur des sites non vérifiés.
  • Si vous trouvez un référentiel suspect, signalez-le à GitHub – vous pourriez ainsi sauver les appareils d’autres personnes qui ne disposeraient pas d’une solution de sécurité fiable.
Conseils
Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries