Une nouvelle menace pour les développeurs
Les pirates informatiques ont manipulé la fonctionnalité de recherche de GitHub et utilisé des dépôts méticuleusement élaborés pour distribuer des logiciels malveillants. Bien que GitHub ait récemment remplacé les mots de passe, les chercheurs de Checkmarx mettent en garde les utilisateurs contre une technique astucieuse de distribution. Selon leurs découvertes, les cybercriminels manipulent les résultats de recherche de GitHub pour propager des malwares persistants sur les systèmes des développeurs. En créant des dépôts malveillants avec des noms et des sujets populaires, les pirates exploitent les fonctionnalités de GitHub pour toucher un large public.
Fausser les résultats de recherche GitHub pour diffuser des malwares
Les attaquants impliqués dans cette campagne utilisent des techniques sophistiquées pour améliorer le classement de leurs dépôts malveillants dans les résultats de recherche. Ils modifient un fichier, généralement appelé log, avec la date et l’heure actuelles ou simplement un petit changement aléatoire. Cette activité constante augmente artificiellement la visibilité des dépôts, en particulier dans les cas où les utilisateurs filtrent leurs résultats par mise à jour la plus récente.
Les fausses étoiles et le code masqué renforcent cette stratégie malveillante
En plus de ces mises à jour automatiques, les pirates informatiques emploient une autre technique pour renforcer l’efficacité de leur dépôt et obtenir des résultats plus élevés. Ils utilisent plusieurs comptes fictifs pour ajouter de fausses étoiles à leurs dépôts, donnant un sentiment de popularité et de fiabilité.
Enfin, pour échapper à la détection, ils ont caché le code malveillant dans les fichiers de projet Visual Studio, qui est automatiquement exécuté lorsque le projet est créé. Au cours de la récente campagne, les pirates ont utilisé un fichier exécutable volumineux qui partage des similitudes avec le malware Keyzetsu Clipper, connu pour cibler les portefeuilles de cryptomonnaies.
Mise à jour du code et dissimulation supplémentaire
Le 3 avril 2024, l’attaquant a mis à jour le code dans l’un de ses dépôts en créant un lien vers une nouvelle URL qui télécharge un autre fichier crypté .7z. Pour augmenter artificiellement la taille du fichier et dépasser les limites de diverses solutions de sécurité, y compris GitHub lui-même, les pirates ont rempli l’exécutable de nombreux zéros rendant impossible son analyse.
Crooks manipulate GitHub’s search results to distribute malwarehttps://t.co/wrkC0qfOyF
— Privacy and Security News (@privsecnews) April 13, 2024
La nécessité d’une revue régulière du code
Il semble désormais que simplement vérifier les vulnérabilités connues ne suffit plus ; une revue régulière du code est nécessaire pour assurer une bonne sécurité. Les développeurs doivent rester vigilants lorsqu’ils recherchent du code sur GitHub et évaluer la légitimité des dépôts qu’ils envisagent d’utiliser. Les chercheurs de Checkmarx recommandent de vérifier les détails du compte, l’historique des modifications, et les contributeurs pour s’assurer que le dépôt est sûr.
Compte tenu de cette menace croissante, il est essentiel que GitHub et ses utilisateurs travaillent ensemble pour sécuriser leurs plateformes et protéger les développeurs contre ces attaques malveillantes. En identifiant et signalant rapidement les dépôts suspects, les utilisateurs peuvent aider à prévenir la propagation de logiciels malveillants via les résultats de recherche GitHub.
Les organisations doivent également mettre en place des processus de contrôle et de surveillance de leur propre code pour détecter rapidement les infections potentielles et empêcher les dégâts causés par ces campagnes de malware persistant. Les responsables de la sécurité informatique doivent rester à jour avec les dernières menaces et fournir une formation adéquate aux développeurs pour garantir un environnement de travail sécurisé sur GitHub et d’autres plateformes similaires.