Des centaines de dépôts GitHub parfaitement maquillés cachent un malware conçu pour siphonner identifiants et cryptomonnaies. Une campagne discrète mais efficace, qui infiltre l’écosystème open source depuis des années.
Depuis plusieurs années, une campagne baptisée GitVenom infiltre GitHub avec des centaines de faux dépôts, conçus pour piéger développeurs et passionnés de forks. Sous couvert d’outils pratiques et bien documentés, ces projets dissimulent un malware capable de voler identifiants, wallets et données sensibles, tout en téléchargeant d’autres charges malveillantes depuis un dépôt contrôlé par les attaquants.
Un piège bien rodé pour tromper les développeurs
Détectée par les chercheurs et chercheuses de Securelist, la campagne GitVenom sévit depuis au moins deux ans. Une longévité qui s’explique en partie par le soin apporté à son développement. Car ici, pas de dépôts obscurs ni de fichiers suspects, mais des faux projets savamment construits pour inspirer confiance. Bots Telegram, outils d’automatisation pour Instagram, scripts de hacking pour Valorant ou PUBG… Autant d’appâts qui attirent développeurs et développeuses en quête de solutions prêtes à l’emploi.
Pour parfaire l’illusion, ces dépôts intègrent des README.md détaillés, probablement générés à l’aide d’une IA, ainsi que des commits réguliers et des tags scrupuleusement choisis. En bref, tout est fait pour améliorer leur visibilité sur la plateforme, et attirer l’attention des internautes.
Sauf que derrière cette façade soignée, ces dépôts contiennent bel et bien du code malveillant, dont les techniques d’infection varient en fonction du langage utilisé. Au cours de leurs analyses, les équipes de Securelist ont ainsi observé que les projets compromis en Python cachaient un script chiffré derrière une ligne remplie de 2000 tabulations. Une fois le fichier exécuté, ce script télécharge et exécute du code malveillant après avoir installé les bibliothèques nécessaires à son déchiffrement.
Dans les projets en JavaScript, les attaquants injectent une fonction encodée en Base64 directement dans le fichier principal, déclenchant l’exécution du malware dès le lancement du programme. En C, C++ et C#, le piège repose sur un script batch dissimulé dans les fichiers de configuration de Visual Studio, qui s’exécute automatiquement au moment de la compilation, compromettant la machine des développeurs et développeuses à leur insu.
Un stratagème efficace, d’autant plus insidieux qu’il passe inaperçu sans une analyse minutieuse du code source. Or, nombreux sont celles et ceux qui, par manque de temps ou de vigilance, s’abstiennent encore trop souvent de le faire.
De l’open source à l’open bar
Sans grande surprise, GitVenom cherche à exfiltrer un maximum de données sensibles. Une fois le projet exécuté, il télécharge plusieurs charges malveillantes hébergées sur un dépôt GitHub contrôlé par les attaquants.
Les chercheurs et chercheuses de Securelist ont ainsi pu identifier un stealer en Node.js, programmé pour récupérer les identifiants enregistrés, l’historique de navigation et les portefeuilles crypto. Tout est ensuite compressé dans une archive *.7z et envoyé aux attaquants via Telegram.
En parallèle, GitVenom déploie aussi AsyncRAT et Quasar, deux chevaux de Troie particulièrement actifs ces derniers mois. Une fois installés, ils offrent un accès persistant aux machines compromises, laissant la possibilité d’exécuter d’autres charges malveillantes, d’espionner les sessions utilisateur ou d’envoyer des commandes à distance.
Le dispositif inclut enfin un clipper, conçu pour détourner les transactions en cryptomonnaies. Dès qu’une adresse de portefeuille est copiée dans le presse-papiers, elle est automatiquement remplacée par celle des attaquants. D’après Securelist, cette méthode leur aurait déjà permis de récupérer 5 BTC, soit environ 485 000 dollars en novembre 2024.
Si GitVenom est actif depuis plusieurs années, son impact est particulièrement visible en Russie, au Brésil et en Turquie, où les tentatives d’infection ont été les plus nombreuses. Mais le malware s’adapte facilement, et Securelist a confirmé qu’il touchait probablement toutes les régions du monde.
On en profitera pour rappeler que la facilité avec laquelle les dépôts piégés se fondent dans l’écosystème open source en font une menace difficile à contenir. En marge des victimes directes, ces types de malwares peuvent aussi se propager involontairement, si tant est que les développeurs et développeuses ciblés intègrent ces projets infectés à leurs propres applications sans prendre la peine de les inspecter en amont.
En clair, scrutez minutieusement votre code, contrôlez l’activité des dépôts avec lesquels vous interagissez, testez les projets tiers en environnement isolé et installez un bon antivirus.
Source : Securelist
06 février 2025 à 09h45
