Depuis plusieurs mois, GitHub est victime d’une campagne de malwares dans laquelle les attaquants copient des dépôts de code légitimes, les infectent avec des malwares et les redistribuent.
Faites attention en téléchargeant des registres de code sur GitHub : la plateforme open source subit certaines difficultés. Depuis le mois de mai, GitHub est contaminé par des registres Python malveillants qui ont l’apparence d’un code légitime. Selon la société de sécurité Apiiro, au moins 100 000 registres de codes malveillants existeraient.
Les chercheurs de l’entreprise révèlent comment se déroule la campagne de malware. Les acteurs malveillants jouent un jeu dangereux de copier-coller avec les dépôts de code légitimes. Ils copient du code Python légitime et y cachent des logiciels malveillants. Des milliers de « clones » du registre sont ensuite créés sous la même description que la version originale et distribués via GitHub et d’autres canaux. Une fois installé, le malware obtient de la victime des données sensibles telles que les données de connexion à d’autres applications.
Hors écran
GitHub est capable d’analyser les dépôts de code à la recherche de malwares et la plupart des clones sont donc rapidement éliminés. Autrement, il y aurait des millions de fichiers malveillants, soupçonne Apiiro. Mais les attaquants ont leurs propres ruses pour cacher le malware.
La fonction exec, qui déclenche l’exécution du code malveillant, est cachée en ajoutant des centaines de lignes vierges au registre du code. Ainsi, le malware est véritablement hors écran quand on le vérifie manuellement. Cette méthode de cachette assure que des centaines de milliers de registres malveillants persistent, explique Trend Micro dans un blog.
Compte tenu du fait que GitHub possède plus de 400 millions de registres, la probabilité de tomber sur un clone de registre malveillant est donc relativement faible. Mais les chercheurs craignent que les utilisateurs de GitHub ne contribuent à diffuser les clones sans le savoir. GitHub reconnaît que ce problème est très grave et qu’il cherche une solution pour s’en débarrasser complètement, bien qu’il ne semble pas avoir trouvé cette solution pour le moment.