Une vaste campagne de malwares sur GitHub, plateforme qui permet de stocker et gérer du code, a été repérée par McAfee. Des pirates y exploitent la confiance des utilisateurs, en proposant des jeux vidéo et logiciels crackés.

GitHub, l'un des nouveaux pièges tendus par les cybercriminels © Alexandre Boero / Clubic
GitHub, l'un des nouveaux pièges tendus par les cybercriminels © Alexandre Boero / Clubic

La sécurité sur GitHub, ce n'est pas trop ça. Une nouvelle étude publiée lundi par McAfee Labs dévoile une technique d'attaque particulièrement pernicieuse. Des cybercriminels créent des repositories (des dossiers de partage et de collaboration) GitHub légitimes en apparence pour diffuser des malwares.

Pour y parvenir, ils se font passer pour des distributeurs de jeux vidéo et de logiciels premium piratés. Ils visent notamment les plus jeunes utilisateurs, en jouant sur leur désir d'accéder gratuitement à des contenus payants.

Une stratégie d'attaque redoutable sur GitHub

Les cybercriminels ont développé une approche particulièrement sophistiquée pour piéger leurs victimes. Ils exploitent la réputation de GitHub, plateforme reconnue et appréciée des développeurs, pour héberger leurs repositories malveillants.

Leur stratégie est hélas redoutable. Les individus malveillants créent des comptes gratuits et mettent ensuite en ligne ce qui semble être des versions piratées de jeux populaires comme Minecraft, Roblox, Apex Legends ou Call of Duty. Pour les rendre plus crédibles, ces repositories sont méticuleusement construits avec des licences de distribution et des captures d'écran professionnelles.

Vidéo YouTube contenant une URL malveillante dans la description © McAfee
Vidéo YouTube contenant une URL malveillante dans la description © McAfee

Les pirates ne font pas les choses à moitié et vont même jusqu'à inclure des instructions détaillées d'installation et des descriptions exhaustives des fonctionnalités promises, comme des aimbots (programmes qui aident à viser automatiquement) pour les jeux de tir ou des systèmes anti-ban. Ils créent ainsi une parfaite illusion de légitimité.

Des conséquences dévastatrices en quelques clics

Les référentiels proposés sont d'autant plus redoutables qu'ils livrent des instructions pour désactiver Windows Defender et tous les autres antivirus. Les cybercriminels se justifient par le fait que les utilisateurs vont télécharger un jeu piraté et qu'il faut contourner l'authentification logicielle.

Les instructions de téléchargement présentes dans le référentiel © McAfee

Que se passe-t-il une fois le malware téléchargé et exécuté ? Le logiciel malveillant, identifié comme une variante de Lumma Stealer, bien connu pour son vol de données sensibles, commence son travail destructeur. Il analyse systématiquement l'ordinateur de la victime, collecte les informations sensibles stockées dans les navigateurs, les portefeuilles de cryptomonnaies et les fichiers système.

Les chercheurs de McAfee ont observé que ces repositories sont régulièrement mis à jour avec de nouvelles variantes du malware. Cette tactique permet en effet aux pirates de contourner les détections des antivirus et de maintenir leurs activités malveillantes actives, même lorsque certains repositories sont découverts et supprimés par GitHub.

Alors, pour contrer cette menace, il est recommandé de faire preuve d'une vigilance toute particulière, surtout pour les parents. Il est crucial de sensibiliser les jeunes utilisateurs aux dangers des logiciels piratés et de maintenir les antivirus actifs, et à jour, pour que ces derniers puissent de façon proactive bloquer les URLs de ces repositories malveillants et détecter les variantes connues de Lumma Stealer.