Une campagne de logiciels malveillants baptisée GitVenom utilise des centaines de référentiels GitHub pour inciter les utilisateurs à télécharger des voleurs d’informations, des chevaux de Troie d’accès à distance (RATs) et des pirates de l’air du presse-papiers pour voler des cryptos et des informations d’identification.

Selon Kaspersky, GitVenom est actif depuis au moins deux ans, ciblant les utilisateurs du monde entier, mais avec un accent particulier sur la Russie, le Brésil et la Turquie.

« Au cours de la campagne GitVenom, les acteurs de la menace derrière celle – ci ont créé des centaines de référentiels sur GitHub qui contiennent de faux projets avec du code malveillant-par exemple, un instrument d’automatisation pour interagir avec les comptes Instagram, un bot Telegram permettant de gérer les portefeuilles Bitcoin, et un outil de piratage pour le jeu vidéo Valorant », décrit Georgy Kucherin de Kaspersky.

L’un des dépôts GitHub malveillants

Le chercheur explique que les faux référentiels sont conçus avec soin, avec des détails et des fichiers readme écrits de manière appropriée, probablement à l’aide d’outils d’IA.

De plus, les acteurs de la menace utilisent des astuces pour gonfler artificiellement le nombre de validations soumises à ces référentiels, créant une fausse image de forte activité et augmentant la crédibilité.

Fichier readme détaillé d’un projet frauduleux

Logiciels malveillants dans les projets GitHub
L’analyse par Kaspersky de plusieurs référentiels prenant en charge la campagne donnée a révélé que le code malveillant injecté dans les projets est écrit dans différents langages, notamment Python, JavaScript, C, C++ et C#.

On pense que différentes langues sont utilisées pour échapper à la détection par des outils ou des méthodes spécifiques de révision de code.

Une fois que la victime exécute la charge utile, le code injecté télécharge la deuxième étape à partir d’un référentiel GitHub contrôlé par l’attaquant.

Kaspersky a trouvé les outils suivants utilisés dans Git Venom:

  1. Nœud.js stealer-Infostealer qui cible les informations d’identification enregistrées, les informations de portefeuille de crypto-monnaie et l’historique de navigation. Il compresse les données en un .7z l’archive et l’exfiltrera par télégramme.
  2. AsyncRAT-RAT open source permettant le contrôle à distance, l’enregistrement de frappe, la capture d’écran, la manipulation de fichiers et l’exécution de commandes.
  3. Porte dérobée Quasar-RAT open source avec des capacités similaires à celles d’AsyncRAT.
  4. Pirate de presse-papiers-Logiciel malveillant qui surveille le presse-papiers de la victime à la recherche d’adresses de portefeuille de crypto-monnaie et les remplace par une adresse contrôlée par un attaquant, redirigeant les fonds vers le pirate informatique.

Le rapport met en évidence un cas de novembre 2024 lorsque le portefeuille Bitcoin de l’attaquant a reçu 5 BTC, d’une valeur d’un demi-million de dollars.

Données volées à la victime et emballées dans une archive

Rester à l’abri de cette campagne
Bien que les logiciels malveillants se cachant dans les référentiels GitHub sous le couvert de logiciels réguliers ou même d’exploits PoC ne soient pas nouveaux, la durée et la taille de GitVenom prouvent que l’abus légitime de la plate-forme continue d’être très efficace.

Il est crucial de vérifier minutieusement un projet avant d’utiliser l’un de ses fichiers en inspectant le contenu du référentiel, en analysant les fichiers avec des outils antivirus et en exécutant les fichiers téléchargés dans un environnement isolé.

Les drapeaux rouges incluent du code obscurci, des validations automatisées inhabituelles et des fichiers Readme excessivement détaillés qui semblent générés par l’IA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *