Une faille GitHub, ou peut-être une décision de conception, est utilisée de manière abusive par des acteurs malveillants pour distribuer des logiciels malveillants à l’aide d’URL associées à un référentiel Microsoft, ce qui donne l’impression que les fichiers sont dignes de confiance.

Alors que la majeure partie de l’activité des logiciels malveillants a été basée sur les URL GitHub de Microsoft, cette « faille » pourrait être utilisée de manière abusive avec n’importe quel référentiel public sur GitHub, permettant aux acteurs de la menace de créer des leurres très convaincants.

Abus de la fonctionnalité de téléchargement de fichiers de GitHub
Hier, McAfee a publié un rapport sur un nouveau chargeur de logiciels malveillants LUA distribué via ce qui semblait être un référentiel Microsoft GitHub légitime pour le « Gestionnaire de bibliothèques C++ pour Windows, Linux et macOS », connu sous le nom de vcpkg.

Les URL des programmes d’installation de logiciels malveillants, illustrées ci-dessous, indiquent clairement qu’ils appartiennent au référentiel Microsoft, mais nous n’avons trouvé aucune référence aux fichiers dans le code source du projet.

https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip


Trouvant étrange qu’un dépôt Microsoft distribue des logiciels malveillants depuis février, Breachtrace l’a examiné et a constaté que les fichiers ne faisaient pas partie de vcpkg mais avaient été téléchargés dans le cadre d’un commentaire laissé sur un commit ou un problème dans le projet.

Lorsqu’il laisse un commentaire, un utilisateur de GitHub peut joindre un fichier, qui sera téléchargé sur le CDN de GitHub et associé au projet associé à l’aide d’une URL unique au format suivant: ‘https://www.github.com/{projet_user} / {repo_name} / fichiers/{id_fichier}/{nom_fichier}.’

Au lieu de générer l’URL après la publication d’un commentaire, GitHub génère automatiquement le lien de téléchargement après avoir ajouté le fichier à un commentaire non enregistré, comme illustré ci-dessous. Cela permet aux auteurs de menaces d’attacher leurs logiciels malveillants à n’importe quel référentiel à leur insu.

Lien de téléchargement généré automatiquement lors de l’ajout d’un fichier à un commentaire

Même si vous décidez de ne pas publier le commentaire ou de le supprimer après sa publication, les fichiers ne sont pas supprimés du CDN de GitHub et les URL de téléchargement continuent de fonctionner indéfiniment.

Comme l’URL du fichier contient le nom du référentiel dans lequel le commentaire a été créé, et comme presque tous les éditeurs de logiciels utilisent GitHub, cette faille peut permettre aux auteurs de menaces de développer des leurres extraordinairement astucieux et dignes de confiance.

Par exemple, un acteur malveillant pourrait télécharger un exécutable malveillant dans le référentiel d’installation de pilotes de NVIDIA qui prétend être un nouveau pilote corrigeant des problèmes dans un jeu populaire. Ou un acteur malveillant pourrait télécharger un fichier dans un commentaire sur le code source de Google Chromium et prétendre qu’il s’agit d’une nouvelle version de test du navigateur Web.

Ces URL sembleraient également appartenir aux référentiels de l’entreprise, ce qui les rendrait beaucoup plus fiables.

Malheureusement, même si une entreprise apprend que ses dépôts sont utilisés abusivement pour distribuer des logiciels malveillants, Breachtrace n’a trouvé aucun paramètre vous permettant de gérer les fichiers joints à vos projets.

De plus, vous ne pouvez protéger un compte GitHub contre les abus de cette manière et ternir votre réputation qu’en désactivant les commentaires. Selon ce document de support GitHub, vous ne pouvez désactiver temporairement les commentaires que pendant un maximum de six mois à la fois.

Cependant, restreindre les commentaires peut avoir un impact significatif sur le développement d’un projet car cela ne permettra pas aux utilisateurs de signaler des bogues ou des suggestions.

Sergei Frankoff, du service d’analyse automatisée des logiciels malveillants UNPACME, a fait un livestream sur Twitch à propos de ce bogue le mois dernier, affirmant que les acteurs de la menace en abusaient activement.

Dans le cadre de nos recherches sur ce bogue, Breachtrace n’a pu trouver qu’un seul autre référentiel, un routeur http, abusé pour distribuer des logiciels malveillants de cette manière, et c’était le même ‘Cheater.Pro.1.6.0.zip’ comme on le voit dans les URL de Microsoft.

Cependant, Frankoff a déclaré à Breachtrace qu’ils avaient découvert une campagne similaire en mars qui utilise le même malware LUA loader, appelé SmartLoader, déguisé en logiciel de triche Aimmy.

Frankoff a déclaré à Breachtrace que Smart Loader est généralement installé à côté d’autres charges utiles, telles que le logiciel malveillant de vol d’informations RedLine.

Breachtrace a contacté GitHub et Microsoft jeudi à propos de cet abus mais n’a pas reçu de réponse.

Au moment de cette publication, les logiciels malveillants voleurs d’informations sont toujours distribués via des liens associés au référentiel GitHub de Microsoft.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *