Les acteurs de la menace abusent des fonctionnalités d’automatisation de GitHub et des projets Visual Studio malveillants pour pousser une nouvelle variante du presse-papiers » Keyzetsu  » – pirater des logiciels malveillants et voler des paiements en crypto-monnaie.

Les attaquants créent des référentiels GitHub avec des noms qui ont plus de chances de bien figurer dans les résultats de recherche et utilisent diverses méthodes pour augmenter artificiellement leur popularité et leur visibilité sur la plate-forme.

Les utilisateurs qui téléchargent des fichiers à partir de ces référentiels sont infectés par des logiciels malveillants cachés dans les fichiers de projet Visual Studio et exécutés furtivement pendant la construction du projet.

Actions GitHub pour le boosting automatisé
Selon un nouveau rapport de Checkmarx, la campagne de logiciels malveillants utilise plusieurs référentiels GitHub nommés d’après des sujets et des projets populaires.

Exemples de référentiels malveillants

Les attaquants ont utilisé des actions GitHub pour mettre à jour automatiquement ces référentiels à une fréquence très élevée en modifiant un fichier journal avec un changement aléatoire mineur. Ceci est fait pour que les dépôts se classent en tête des résultats de recherche qui trient par  » dernière mise à jour. »

Série de commits récents

Un autre processus potentiellement automatisé est la création de faux comptes GitHub qui ajoutent de fausses statistiques sur ces référentiels pour créer un faux sentiment de popularité et de fiabilité autour du projet. Un cadeau est que ces comptes ont tous été créés récemment.

Faux comptes mettant en vedette le référentiel malveillant

Masquage dans les projets Visual Studio
La charge utile des logiciels malveillants est généralement cachée à l’intérieur des événements de génération dans les fichiers de projet Visual Studio malveillants, bien que Checkmarx ait vu certaines variations.

Un événement de génération Visual Studio sont des commandes à exécuter à différentes étapes du processus de génération. Par exemple, le projet malveillant ci-dessous utilise l’événement Pre Build pour écrire des logiciels malveillants sur le disque et les exécuter avant la compilation du projet.

Charge utile cachée

Le script qui s’exécute pendant la génération du projet se compose d’un script batch et d’un script PowerShell codé en base64 qui s’exécute successivement pour effectuer les actions suivantes:

  • Effacer les fichiers temporaires
  • Récupérez l’adresse IP et déterminez si l’emplacement est la Russie
  • Télécharger des fichiers cryptés à partir d’une URL spécifiée en fonction du code du pays
  • Déchiffrez, extrayez et exécutez les fichiers téléchargés.

Checkmarx rapporte qu’à partir du 3 avril 2024, la campagne est passée à l’utilisation d’une charge utile cryptée /7z contenant un exécutable de 750 Mo nommé ‘feedbackAPI.exé.’

La grande taille du fichier a été obtenue en ajoutant des zéros, le gonflant au point qu’il est trop volumineux pour être analysé par des outils de sécurité comme VirusTotal. Cela inclut le point de terminaison de téléchargement alternatif de VirusTotal pour l’analyse, qui peut prendre jusqu’à 650 Mo.

Dans tous les cas, la charge utile finale est une variante du malware Keyzetsu clipboard clipper, qui remplace le contenu du presse-papiers Windows par les propres données de l’attaquant.

Ce malware est généralement utilisé pour échanger des adresses de portefeuille de crypto-monnaie copiées par la victime avec les propres adresses de l’attaquant. Cela permet à tous les paiements définis de détourner les paiements vers des portefeuilles sous le contrôle des attaquants.

Un coupe-presse-papiers, ou pirate de l’air, est un logiciel malveillant qui surveille le presse-papiers de Windows à la recherche de certaines données et, lorsqu’il est détecté, les échange avec différentes données fournies par l’attaquant.

Comme les adresses de crypto-monnaie sont généralement longues et difficiles à mémoriser, la plupart des gens copient une adresse à partir d’une autre page, d’un autre site ou d’un autre programme. Ce type de malware détecte l’adresse copiée dans le presse-papiers et la remplace par la propre adresse de l’attaquant dans l’espoir que la victime ne remarquera pas l’échange.

Ensuite, lorsque l’utilisateur colle l’adresse dans son portefeuille pour envoyer une transaction de crypto-monnaie, les fonds sont envoyés à l’adresse sous le contrôle de l’attaquant plutôt qu’au destinataire prévu.

Sur les systèmes Windows, la charge utile crée une tâche planifiée nommée « Feedback_API_VS_Services_Client », qui exécute le logiciel malveillant sans invite de confirmation à 4 heures du matin.

Pour vous protéger contre les attaques de la chaîne d’approvisionnement et le code malveillant hébergé sur GitHub, examinez l’activité du référentiel à la recherche de modèles suspects, tels que de nombreux commits ou étoiles reçus par des comptes tous créés à peu près au même moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *