Cette faille permet aux hackers de dissimuler des malwares dans des commentaires en utilisant des URL associées à des dépôts Microsoft.
Si GitHub est censé être sécurisé grâce à la double authentification , il est considéré comme le paradis des développeurs…. et également de tout hacker qui cherche à diffuser ses malwares.
Mais cette fois, ces cybercriminels n'ont pas profité d'une faille ni distribué des fichiers vérolés sous le couvert de publicités malveillantes. Ils ont découvert un défaut de conception dans le système des commentaires de GitHub. Une technique sournoise qui leur permet de diffuser des logiciels malveillants en utilisant des URL associées à des dépôts Microsoft. Ces fichiers ressemblent à des fichiers légitimes, semblent sains, mais sont infectés.
Si Microsoft et GitHub n'ont pour l'instant pas réagi ni corrigé cette faille, Clubic vous donne quelques pistes pour éviter de vous faire piéger.
Les hackers abusent de la fonctionnalité des commentaires pour diffuser des leurres plus vrais que nature
Alors comment s'y prennent les hackers pour duper à ce point les utilisateurs de GitHub ?
Ils utilisent un petit défaut de conception de la structure des commentaires. Lorsqu'un utilisateur laisse un commentaire sur GitHub, il peut joindre un fichier. Ce fichier est ensuite téléchargé sur le CDN (Content Delivery Network) de GitHub et associé au projet via une URL unique. Le format de cette URL est le suivant :
https://www.github.com/{nom_utilisateur_du_projet}/{nom_du_dépôt}/files/{identifiant_du_fichier}/{nom_du_fichier}.
Imaginez un hacker qui uploade un exécutable de malware dans le dépôt d'installation des pilotes NVIDIA, et publie en commentaire qu'il s'agit d'une nouvelle mise à jour pour résoudre des bugs d'un jeu vidéo. Ou encore, un fichier malveillant ajouté en commentaire au code source de Google Chromium, se faisant passer pour une nouvelle version de test du navigateur web. Ces URL sembleraient appartenir aux dépôts de ces entreprises, les rendant ainsi plus crédibles et trompeuses, car ayant la même structure que les URL légitimes.
Étant donné que GitHub génère automatiquement le lien de téléchargement dès qu'un utilisateur ajoute un fichier à un commentaire non sauvegardé, alors n'importe quel fichier peut y être attaché. Le tour est joué, les hackers peuvent attacher leurs malwares à n'importe quel dépôt sans que personne ne s'en aperçoive.
Comment vous protéger de la persistance de ces URL malveillantes
Le problème de ces URL attachées aux commentaires, c'est qu'elles sont tenaces. En effet, même si vous décidez de ne pas publier le commentaire ou de le supprimer après sa publication, les fichiers ne sont pas supprimés du CDN de GitHub, et les URL de téléchargement continuent de fonctionner indéfiniment. Comme le nom du dépôt est inclus dans l'URL, cette faille permet aux hackers de créer des leurres extrêmement convaincants et dignes de confiance.
Spécialiste chez UnpacMe, un service d'analyse automatisée des malwares, Sergei Frankoff, a récemment streamé sur Twitch une démonstration de cette technique.
Alors, comment être sûr de ne pas vous faire piéger ? La première des précautions à prendre est de vérifier les URL avant de télécharger un fichier à partir d'un commentaire. Assurez-vous qu'il provient d'une source fiable en contactant par exemple d'autres utilisateurs de GitHub ou en glanant des infos sur le Web sur l'existence de ces fichiers au téléchargement et leur fonction.
Ensuite, surveillez vos dépôts. Soyez attentif aux activités suspectes dans vos projets GitHub et supprimez tout fichier inconnu. Enfin, si vous travaillez en équipe, bien sûr, avertissez-les de cette nouvelle campagne de diffusion de malwares.
Un développeur averti en vaut deux.
01 décembre 2024 à 11h06
Source : Bleeping Computer, Compte X de Sergei Frankoff