Hier, deux personnes m'ont contacté pour deux projets distincts sur GitHub

Une Nouvelle Campagne de Malware Exploitant GitHub et Telegram
Hier, deux informateurs m'ont contacté au sujet de projets distincts hébergés sur GitHub. "Tito" m'a envoyé un message direct concernant un commentaire fait par un utilisateur affirmant avoir trouvé un correctif pour le projet nommé "synara". Parallèlement, "Robert Z" m'a fait part d'une situation similaire au sujet d'un autre projet sur GitHub.
Des Découvertes Frappantes
Après quelques investigations, il s'est avéré que plusieurs fichiers malveillants circulent actuellement en ligne, nommés comme suit :
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Ces fichiers sont le fruit d'une campagne malveillante qui a apparemment débuté autour du 7 juillet. L'objectif est clair : créer des comptes sur GitHub, ouvrir des problèmes (issues) et laisser des commentaires pour prétendre avoir trouvé un correctif. Bien que cela semble automatisé, cela démontre une méthode astucieuse d'infiltration.
Une Analyse Technique de la Menace
En examinant le contenu de ces fichiers, il apparaît qu'il s'agit d'un programme écrit en Go. Une fois exécuté, le binaire interroge un hôte distant qui se connecte à Telegram. La description du canal Telegram indique un site web spécifique, où le code malveillant semble être exfiltré.
Cette approche offre une certaine flexibilité aux auteurs de la campagne, car ils peuvent rapidement modifier la description de leur canal Telegram en cas de suppression de leur site web. En substance, ils utilisent une sorte de résolveur DNS non conforme via Telegram, ce qui complique la tâche des autorités pour les neutraliser.
Identification de la Malware : StealC
Cette menace a été identifiée sous le nom de "StealC", selon les identifiants YARA. On peut supposer qu'il s'agit d'une nouvelle campagne malveillante orchestrée par un individu ou un groupe utilisant StealC. Le choix d'exploiter les plateformes de GitHub pour disséminer des logiciels malveillants est innovant, alliant spam sur GitHub et un résolveur DNS artisanal sur Telegram. Cette méthode exploite la lenteur de Telegram à réagir aux demandes de suppression.
Résumé des Fichiers Malveillants Découverts
| Nom du Fichier | Description |
|---|---|
| hb_patch_v1112 | Potentiellement un correctif de malware |
| registry_patch_v0.1.7 | Fichier semble lié à des modifications de registre |
| rep_fix_v1.zip | Archive suspecte contenant un code malveillant |
| sodium_fix_v1 | Possiblement un correctif pour un logiciel vulnérable |
| log_fix_patch | Fichier ayant pour but d'altérer des journaux de système |
Cette campagne de malware représente une menace croissante dans le paysage technologique actuel, illustrant la créativité des cybercriminels qui exploitent les plateformes de développement communautaires pour distribuer leurs logiciels malveillants. Il est impératif pour les utilisateurs de rester vigilants et de redoubler de prudence lors du téléchargement de fichiers provenant de sources non vérifiées.
TechOffice