Klarrio a découvert sur GitHub un réseau de 2.400 dépôts infectés par des logiciels malveillants et 15.000 faux comptes imitant des projets open source légitimes afin d’induire les utilisateurs en erreur.
Une enquête menée par la société anversoise Klarrio a conduit à la découverte de 2.400 dépôts infectés par des logiciels malveillants sur GitHub. En outre, 15.000 faux comptes ont été identifiés, attribuant à ces dépôts des évaluations positives afin d’accroître leur visibilité.
Klarrio est une entreprise de logiciels spécialisée dans les solutions cloud natives et agnostiques, basée à Anvers. La découverte des dépôts malveillants a été effectuée par le directeur technique de l’entreprise, Bruno De Bus. Il s’inquiétait, d’un point de vue de sécurité interne, de projets open source suspects sur GitHub.
De l’analyse interne à un vaste réseau de logiciels malveillants
Lors de l’analyse d’un projet apparemment légitime dans le langage de programmation Go, De Bus a découvert que le dépôt était un clone du projet original. La différence résidait dans un code obfusqué qui téléchargeait subrepticement des logiciels malveillants. Fait remarquable, le projet cloné recevait plus d’évaluations positives que l’original.
Le directeur technique de Klarrio a étendu l’enquête et a retracé des centaines de dépôts similaires présentant des caractéristiques analogues. Un schéma a été mis en lumière où des robots clonent des projets populaires, les republient sous d’autres comptes et insèrent des logiciels malveillants dans le code. Des comptes générés automatiquement attribuent ensuite des évaluations positives à ces dépôts malveillants, créant ainsi une fausse impression de fiabilité pour les utilisateurs.
Certains de ces dépôts malveillants se réécrivent constamment, probablement avec l’aide de l’IA, pour éviter la détection.
Structure d’URL reconnaissable
Le code malveillant récupère sa charge utile via des structures d’URL fixes. Celles-ci suivent le modèle https:///storage/ avec, entre autres, les domaines exemples alturastreet.icu, kaspmirror.icu, et sharegolem.com.
Klarrio recommande aux utilisateurs de GitHub de bloquer activement ce type de modèles d’URL ou de les inclure dans les règles de surveillance. La liste complète des dépôts et comptes suspects a entre-temps été transmise à GitHub et aux personnes responsables du dépôt Go. De plus, Klarrio met à disposition une copie de l’enquête pour ceux qui souhaitent mieux comprendre la méthodologie et l’ampleur du réseau.
Avec cette découverte, Klarrio souligne la nécessité de contrôles rigoureux sur les plateformes open source, en particulier dans les environnements où les composants open source sont largement utilisés dans les logiciels d’entreprise.