techleakszone 🔥 17 Visites

Hier, deux personnes m'ont contacté pour deux projets distincts sur GitHub

Hier, deux personnes m'ont contacté pour deux projets distincts sur GitHub

Une Nouvelle Campagne de Malware Exploitant GitHub et Telegram

Hier, deux informateurs m'ont contacté au sujet de projets distincts hébergés sur GitHub. "Tito" m'a envoyé un message direct concernant un commentaire fait par un utilisateur affirmant avoir trouvé un correctif pour le projet nommé "synara". Parallèlement, "Robert Z" m'a fait part d'une situation similaire au sujet d'un autre projet sur GitHub.

Des Découvertes Frappantes

Après quelques investigations, il s'est avéré que plusieurs fichiers malveillants circulent actuellement en ligne, nommés comme suit :

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Ces fichiers sont le fruit d'une campagne malveillante qui a apparemment débuté autour du 7 juillet. L'objectif est clair : créer des comptes sur GitHub, ouvrir des problèmes (issues) et laisser des commentaires pour prétendre avoir trouvé un correctif. Bien que cela semble automatisé, cela démontre une méthode astucieuse d'infiltration.

Une Analyse Technique de la Menace

En examinant le contenu de ces fichiers, il apparaît qu'il s'agit d'un programme écrit en Go. Une fois exécuté, le binaire interroge un hôte distant qui se connecte à Telegram. La description du canal Telegram indique un site web spécifique, où le code malveillant semble être exfiltré.

Cette approche offre une certaine flexibilité aux auteurs de la campagne, car ils peuvent rapidement modifier la description de leur canal Telegram en cas de suppression de leur site web. En substance, ils utilisent une sorte de résolveur DNS non conforme via Telegram, ce qui complique la tâche des autorités pour les neutraliser.

Identification de la Malware : StealC

Cette menace a été identifiée sous le nom de "StealC", selon les identifiants YARA. On peut supposer qu'il s'agit d'une nouvelle campagne malveillante orchestrée par un individu ou un groupe utilisant StealC. Le choix d'exploiter les plateformes de GitHub pour disséminer des logiciels malveillants est innovant, alliant spam sur GitHub et un résolveur DNS artisanal sur Telegram. Cette méthode exploite la lenteur de Telegram à réagir aux demandes de suppression.

Résumé des Fichiers Malveillants Découverts

Nom du Fichier Description
hb_patch_v1112 Potentiellement un correctif de malware
registry_patch_v0.1.7 Fichier semble lié à des modifications de registre
rep_fix_v1.zip Archive suspecte contenant un code malveillant
sodium_fix_v1 Possiblement un correctif pour un logiciel vulnérable
log_fix_patch Fichier ayant pour but d'altérer des journaux de système

Cette campagne de malware représente une menace croissante dans le paysage technologique actuel, illustrant la créativité des cybercriminels qui exploitent les plateformes de développement communautaires pour distribuer leurs logiciels malveillants. Il est impératif pour les utilisateurs de rester vigilants et de redoubler de prudence lors du téléchargement de fichiers provenant de sources non vérifiées.