Un pirate cible d’autres pirates, joueurs et chercheurs avec des exploits, des robots et des astuces de jeu dans le code source hébergé sur GitHub qui contiennent des portes dérobées cachées pour donner à l’auteur de la menace un accès à distance aux appareils infectés.
Cette campagne a été découverte par des chercheurs de Sophos, qu’un client a contactés pour estimer le danger d’un cheval de Troie d’accès à distance appelé Sakura RAT, disponible gratuitement sur GitHub.
Les chercheurs ont découvert que le code Sakura RAT était essentiellement non fonctionnel, mais qu’il y avait un événement de pré-construction dans le projet Visual Studio qui télécharge et installe des logiciels malveillants sur les appareils de ceux qui tentent de le compiler. s.
L’éditeur, « ischhfd83 », s’est avéré être directement ou indirectement lié à 141 autres référentiels GitHub, dont 133 ont laissé tomber des portes dérobées cachées, marquant cela comme une campagne concertée pour distribuer des logiciels malveillants.
La sélection de portes dérobées comprend des scripts Python avec des charges utiles obscurcies, un économiseur d’écran malveillant (.fichiers scr) utilisant des astuces Unicode, des fichiers JavaScript avec des charges utiles codées et des événements de préconstruction Visual Studio.
Quelques dépôts semblent avoir été abandonnés depuis fin 2023, mais beaucoup sont actifs avec des commits réguliers, certains soumis quelques minutes seulement avant l’analyse de Sophos.
Ces commits sont entièrement automatisés, leur seul but est donc de créer une fausse image d’activité qui donne aux projets malveillants une illusion de légitimité.
« En raison des exécutions automatisées du workflow, de nombreux projets comportaient un grand nombre de commits (l’un en comptait près de 60 000, bien qu’il n’ait été créé qu’en mars 2025) », explique Sophos.
« Sur l’ensemble des référentiels, le nombre moyen de validations était de 4 446 au moment de notre collecte initiale. »
Le nombre de contributeurs est fixé à trois utilisateurs spécifiques pour chaque référentiel, et différents comptes d’éditeurs sont utilisés pour chacun, ne dépassant jamais neuf référentiels affectés à un seul compte.
Ces référentiels reçoivent du trafic provenant de vidéos YouTube, de Discord et de publications sur des forums de cybercriminalité. Sakura RAT lui-même a reçu une certaine attention médiatique qui a suscité l’intérêt des curieux « script kiddies » qui sont allés le chercher sur GitHub.
Cependant, lorsque les victimes téléchargent les fichiers, l’exécution ou la création du code déclenche une étape d’infection en plusieurs étapes.
Ce processus implique l’exécution de scripts VBS sur le disque, le téléchargement par PowerShell d’une charge utile codée à partir d’URL codées en dur, la récupération d’une archive 7zip à partir de GitHub et l’exécution d’une application Electron (filtre de recherche.exe).
L’application charge une archive groupée contenant un « principal » fortement obscurci.js et les fichiers associés, y compris le code pour le profilage du système, l’exécution des commandes, la désactivation de Windows Defender et la récupération de la charge utile.
Les charges utiles supplémentaires téléchargées par la porte dérobée incluent des voleurs d’informations et des chevaux de Troie d’accès à distance tels que Lumma Stealer, AsyncRAT et Remcos, tous dotés de capacités étendues de vol de données.
Bien que de nombreux référentiels de chevaux de Troie soient créés pour cibler d’autres pirates, une grande variété de leurres, tels que des astuces de jeu, des outils de modification et de faux exploits, sont utilisés pour cibler les joueurs, les étudiants et même les chercheurs en cybersécurité.
Comme tout le monde peut télécharger du code source sur GitHub, l’examen du code source et la vérification des événements de pré et post-construction de tout projet sont essentiels avant d’essayer de compiler des logiciels téléchargés à partir de référentiels open source.