Des hackers utilisent Github pour voler des cryptomonnaies—Malware caché dans l'open source

Malware furtif sur Github détourne les portefeuilles crypto

Une campagne de cybercriminalité récemment découverte, connue sous le nom de Gitvenom, a ciblé les utilisateurs de Github en intégrant du code malveillant dans des projets open-source apparemment légitimes. Les chercheurs de Kaspersky, Georgy Kucherin et Joao Godinho, ont identifié l’opération, qui implique des cybercriminels créant des dépôts frauduleux qui imitent de véritables outils logiciels.

Les chercheurs ont décrit:

Au cours de la campagne Gitvenom, les acteurs de la menace derrière celle-ci ont créé des centaines de dépôts sur Github contenant de faux projets avec du code malveillant – par exemple, un instrument d’automatisation pour interagir avec les comptes Instagram, un bot Telegram permettant de gérer les portefeuilles bitcoin, et un outil de piratage pour le jeu vidéo Valorant.

Les attaquants ont déployé des efforts considérables pour que ces dépôts semblent authentiques, en utilisant des fichiers README.md générés par IA, en ajoutant de multiples étiquettes, et en gonflant artificiellement les historiques de commits pour améliorer leur crédibilité.

Le code malveillant est intégré différemment selon le langage de programmation utilisé dans les faux projets. Dans les dépôts Python, les attaquants dissimulent la charge utile en utilisant de longues lignes d’espaces suivies d’une commande de déchiffrement de script. Dans les projets basés sur Javascript, ils cachent le malware dans une fonction qui décode et exécute un script encodé en Base64. Pour les projets C, C++, et C#, les attaquants placent un script batch caché dans les fichiers de projet Visual Studio, garantissant que le malware s’exécute lorsque le projet est construit.

Une fois exécutés, ces scripts téléchargent des composants malveillants supplémentaires depuis un dépôt Github contrôlé par l’attaquant. Cela inclut un stealer basé sur Node.js qui extrait les identifiants, les données des portefeuilles de cryptomonnaies, et l’historique de navigation avant de l’envoyer aux attaquants via Telegram, ainsi que des outils d’accès à distance open-source comme AsyncRAT et Quasar backdoor. Un hijacker de presse-papiers a également été déployé, remplaçant les adresses de portefeuilles de cryptomonnaies copiées par celles contrôlées par les attaquants.

La campagne Gitvenom est active depuis au moins deux ans, avec des tentatives d’infection détectées dans le monde entier, en particulier en Russie, au Brésil, et en Turquie. Les chercheurs de Kaspersky ont souligné les risques croissants des dépôts malveillants, avertissant:

Comme les plateformes de partage de code telles que Github sont utilisées par des millions de développeurs dans le monde entier, les acteurs de la menace continueront certainement à utiliser des logiciels factices comme appât d’infection.

“Pour cette raison, il est crucial de traiter le code tiers avec beaucoup de précaution. Avant de tenter d’exécuter un tel code ou de l’intégrer dans un projet existant, il est primordial de vérifier minutieusement quelles actions il effectue,” ont-ils averti. Alors que les plateformes open-source continuent d’être exploitées par les cybercriminels, les développeurs doivent faire preuve de prudence pour éviter que leurs environnements ne soient compromis.