Des chercheurs en cybersécurité ont récemment découvert une campagne sophistiquée impliquant plus d’une centaine de dépôts GitHub malveillants, tous liés à un seul utilisateur. Cette découverte met en lumière une tendance alarmante où des cybercriminels ciblent non seulement des victimes traditionnelles, mais aussi des aspirants cybercriminels et des joueurs en quête de triches.
La Campagne Malveillante
L’enquête, menée par Sophos X-Ops, a révélé que plus de 140 dépôts GitHub contenaient des portes dérobées malveillantes. Ces dépôts étaient orchestrés par un acteur de menace unique, associé à l’adresse e-mail ischhfd83[at]rambler[.]ru. L’enquête a commencé par une demande de client concernant le Sakura RAT, un malware open-source supposé avoir des capacités anti-détection sophistiquées. Cependant, il s’est avéré que le Sakura RAT lui-même était non fonctionnel pour son objectif prévu, mais son dépôt contenait un code malveillant caché visant les cybercriminels novices et les joueurs cherchant des triches.
Modus Operandi
Les dépôts malveillants utilisaient souvent du code copié de malwares bien connus comme AsyncRAT, mais avec des formulaires laissés vides, rendant le malware inopérant pour son objectif initial. Le but semble être de tromper les novices en leur faisant croire qu’ils téléchargent des outils fonctionnels, alors qu’en réalité, ils téléchargent des malwares qui les ciblent eux-mêmes.
Distribution et Ciblage
Bien que le modèle de distribution exact de ces campagnes ne soit pas clair, des travaux antérieurs ont identifié Discord et YouTube comme principaux moyens de diffusion des liens vers ces projets GitHub malveillants. Sophos note qu’il est rare de voir des cybercriminels cibler leurs pairs, bien que cette activité remonte à plusieurs années.
Implications pour la Communauté de la Cybersécurité
Cette découverte soulève des questions importantes sur la sécurité des plateformes open-source et la confiance que les utilisateurs placent dans les dépôts de code. Les chercheurs avertissent que les cybercriminels pourraient changer de cible à l’avenir, visant non seulement les cybercriminels inexpérimentés et les joueurs utilisant des triches, mais aussi d’autres groupes.
Conclusion
La campagne mise en lumière par Sophos X-Ops est un rappel brutal que même les plateformes open-source, souvent considérées comme sûres, peuvent être exploitées par des acteurs malveillants. Il est crucial pour les utilisateurs de rester vigilants et de vérifier soigneusement la provenance du code qu’ils téléchargent et utilisent.
Cyberfishement 🐡