Hier, deux personnes distinctes m'ont sollicité pour deux projets différents sur GitHub

Nouvelle campagne malveillante utilisant GitHub et Telegram
Hier, deux personnes différentes m'ont contacté au sujet de projets distincts sur GitHub, attirant ainsi mon attention sur une activité suspecte en pleine progression.
Tito m'a envoyé un message direct concernant un commentaire sur GitHub, où une personne affirmait avoir trouvé un patch pour un projet nommé synara. De son côté, Robert Z m'a écrit par e-mail à propos d'un problème similaire sur un autre projet sur GitHub.
Investigations et découvertes
Après une investigation plus approfondie, il s'avère que plusieurs fichiers portant des noms similaires ont été découverts en ligne. Voici quelques exemples :
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
- etc.
Ce qui est particulièrement préoccupant dans ce cas est la stratégie mise en place par l'attaquant. Celui-ci crée des comptes sur GitHub, ouvre des problèmes, puis laisse des commentaires indiquant qu'il a trouvé un patch, ce qui semble être un processus automatisé. Malheureusement, ces patches sont en réalité des logiciels malveillants.
L'émergence d'une nouvelle menace
Il semble que cette campagne ait commencé autour du 7 juillet et qu'elle se propage rapidement sur différentes plateformes.
À l'examen du code, il devient évident qu'il s'agit d'un programme écrit en Go. Lorsque le binaire s'active, il interroge un hôte distant qui résout sur Telegram. La description du canal Telegram inclut également un site web, qui est l'endroit où le code malveillant exfiltre ses données.
Une méthode innovante pour contourner la censure
Cette méthode permet à l'attaquant de changer rapidement la description du canal Telegram si le site web mentionné est pris en down. En d'autres termes, cela fonctionne comme un résolveur DNS "bidon".
Identification du malware : StealC
En se basant sur des identifiants YARA, il semble qu'il s'agisse de StealC, suggérant que nous faisons face à une nouvelle campagne de malware exploitant ce système. Cette utilisation judicieuse de spam sur GitHub associée à un résolveur DNS clandestin sur Telegram démontre un niveau inquiétant d'ingéniosité. De plus, il n’est pas surprenant que Telegram soit moins réactif face aux requêtes de suppression, ce qui permet à cette menace de rester active plus longtemps.
Résumé des informations
| Nom du fichier | Status |
|---|---|
| hb_patch_v1112 | Malware obseervé |
| registry_patch_v0.1.7 | Malware observé |
| rep_fix_v1.zip | Malware observé |
| sodium_fix_v1 | Malware observé |
| log_fix_patch | Malware observé |
Cette situation soulève d'importantes préoccupations sur la sécurité des utilisateurs de GitHub et la manière dont les plateformes pourraient faire face à l'exploitation de leurs services par des acteurs malveillants. Rester vigilant est désormais plus crucial que jamais.
TechOffice