Hier, deux personnes m'ont contacté au sujet de deux projets différents sur GitHub

Une Nouvelle Campagne de Malware Via GitHub : Analysis et Implications
Hier, deux informateurs distincts m'ont contacté à propos de projets sur GitHub, révélant une tendance inquiétante dans la cybersécurité. "Tito" m'a envoyé un message direct concernant une personne prétendant avoir une solution pour un projet nommé "synara", tandis que "Robert Z" a envoyé un courriel parlant d'une situation similaire sur un autre projet GitHub.
Propagation de Malware sur GitHub
Après une enquête approfondie, il apparaît qu'un fichier malveillant circule sous plusieurs noms :
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
Ces fichiers sont en réalité des composants d'une campagne malveillante, où un individu (ou un groupe) crée des comptes GitHub. Ils ouvrent des problèmes sur diverses dépôts et laissent des commentaires affirmant avoir trouvé un patch. Ce comportement semble automatisé et cache un véritable malware sous une apparence innocente.
Chronologie d'une Menace Émergente
Cette campagne a semblé prendre de l'ampleur à partir du 7 juillet. Les signes d'activité malveillante se multiplient rapidement, inquiétant les experts en cybersécurité.
Analyse Technique du Malware
Le malware en question est un programme écrit en Go. Lorsqu'il s'exécute, il interroge un hôte distant qui se résout à … Telegram. Le canal Telegram lié à ce malware contient une description spécifiant un site web où le code malveillant exfiltre des données. Cette méthode est astucieuse car elle permet de modifier rapidement la description du canal Telegram si le site web mentionné est pris down.
Cette approche ressemble à un résolveur DNS "piraté", rendant la traçabilité et l'interception plus difficiles pour les autorités.
| Nom de Fichier | Type | Fonctionnalité |
|---|---|---|
| hb_patch_v1112 | Malware | Simule un correctif pour séduire les utilisateurs. |
| registry_patch_v0.1.7 | Malware | Infiltre les systèmes en se faisant passer pour un correctif. |
| rep_fix_v1.zip | Malware | Infection et exfiltration de données. |
| sodium_fix_v1 | Malware | Utilise le code malveillant pour infecter d'autres systèmes. |
| log_fix_patch | Malware | Cache les traces d'infection. |
Perspectives et Réactions
Ce malware semble basé sur des identifiants YARA, ce qui suggère qu'il pourrait faire partie d'une série d'attaques utilisant le même framework, nommé StealC. La combinaison de spam sur GitHub et d'un résolveur DNS clandestin sur Telegram est une stratégie originale et inquiétante.
Il est probable que Telegram ne réponde pas rapidement aux demandes de retrait, offrant ainsi une fenêtre d'opportunité pour les cybercriminels. Cette situation appelle à la vigilance de la part des utilisateurs de GitHub et des responsables de la cybersécurité.
Conclusion
La découverte de cette campagne de malware souligne l'importance de la vigilance dans les communautés de développement et sur les plateformes de partage de code comme GitHub. Les utilisateurs doivent être honnêtes et prudents face aux correctifs proposés, surtout ceux qui semblent trop beaux pour être vrais.
TechOffice