techleakszone 🔥 6 Visites

Hier, deux personnes m'ont contacté au sujet de deux projets différents sur GitHub

Hier, deux personnes m'ont contacté au sujet de deux projets différents sur GitHub

Une Nouvelle Campagne de Malware Via GitHub : Analysis et Implications

Hier, deux informateurs distincts m'ont contacté à propos de projets sur GitHub, révélant une tendance inquiétante dans la cybersécurité. "Tito" m'a envoyé un message direct concernant une personne prétendant avoir une solution pour un projet nommé "synara", tandis que "Robert Z" a envoyé un courriel parlant d'une situation similaire sur un autre projet GitHub.

Propagation de Malware sur GitHub

Après une enquête approfondie, il apparaît qu'un fichier malveillant circule sous plusieurs noms :

  • hb_patch_v1112
  • registry_patch_v0.1.7
  • rep_fix_v1.zip
  • sodium_fix_v1
  • log_fix_patch

Ces fichiers sont en réalité des composants d'une campagne malveillante, où un individu (ou un groupe) crée des comptes GitHub. Ils ouvrent des problèmes sur diverses dépôts et laissent des commentaires affirmant avoir trouvé un patch. Ce comportement semble automatisé et cache un véritable malware sous une apparence innocente.

Chronologie d'une Menace Émergente

Cette campagne a semblé prendre de l'ampleur à partir du 7 juillet. Les signes d'activité malveillante se multiplient rapidement, inquiétant les experts en cybersécurité.

Analyse Technique du Malware

Le malware en question est un programme écrit en Go. Lorsqu'il s'exécute, il interroge un hôte distant qui se résout à … Telegram. Le canal Telegram lié à ce malware contient une description spécifiant un site web où le code malveillant exfiltre des données. Cette méthode est astucieuse car elle permet de modifier rapidement la description du canal Telegram si le site web mentionné est pris down.

Cette approche ressemble à un résolveur DNS "piraté", rendant la traçabilité et l'interception plus difficiles pour les autorités.

Nom de Fichier Type Fonctionnalité
hb_patch_v1112 Malware Simule un correctif pour séduire les utilisateurs.
registry_patch_v0.1.7 Malware Infiltre les systèmes en se faisant passer pour un correctif.
rep_fix_v1.zip Malware Infection et exfiltration de données.
sodium_fix_v1 Malware Utilise le code malveillant pour infecter d'autres systèmes.
log_fix_patch Malware Cache les traces d'infection.

Perspectives et Réactions

Ce malware semble basé sur des identifiants YARA, ce qui suggère qu'il pourrait faire partie d'une série d'attaques utilisant le même framework, nommé StealC. La combinaison de spam sur GitHub et d'un résolveur DNS clandestin sur Telegram est une stratégie originale et inquiétante.

Il est probable que Telegram ne réponde pas rapidement aux demandes de retrait, offrant ainsi une fenêtre d'opportunité pour les cybercriminels. Cette situation appelle à la vigilance de la part des utilisateurs de GitHub et des responsables de la cybersécurité.

Conclusion

La découverte de cette campagne de malware souligne l'importance de la vigilance dans les communautés de développement et sur les plateformes de partage de code comme GitHub. Les utilisateurs doivent être honnêtes et prudents face aux correctifs proposés, surtout ceux qui semblent trop beaux pour être vrais.