Des résultats de recherche sur GitHub sont vérolés par des malwares

Des hackers ont manipulé la fonctionnalité de recherche de GitHub et utilisé des référentiels méticuleusement conçus pour distribuer des malwares.

Terrain de jeu favori des développeurs, la plateforme collaborative GitHub est un incontournable. Cependant, bien qu'elle ait récemment été sécurisée grâce à l'introduction des passkeys pour remplacer les mots de passe, des chercheurs de Checkmarx mettent en garde ses utilisateurs contre une belle tentative de distribution de malwares.

Selon leurs constatations, des hackers manipulent les résultats de recherche GitHub pour diffuser des logiciels malveillants persistants sur les systèmes des développeurs. En créant des référentiels malveillants avec des noms et des sujets populaires, les cybercriminels exploitent les fonctionnalités de GitHub pour atteindre un large public.

Faire remonter les référentiels vérolés dans le moteur de recherche de GitHub

Les attaquants derrière cette campagne utilisent des techniques sophistiquées pour améliorer le classement de leurs référentiels malveillants dans les résultats de recherche. L'une d'entre elles consiste à utiliser GitHub Actions pour mettre automatiquement à jour les référentiels à une fréquence très élevée. Ils modifient un fichier, généralement appelé « journal », avec la date et l'heure actuelles, ou simplement un petit changement aléatoire. Cette activité continue augmente artificiellement la visibilité des référentiels, en particulier dans les cas où les utilisateurs filtrent leurs résultats par les plus récemment mis à jour. Cela augmente la probabilité que des utilisateurs sans méfiance trouvent ces référentiels et y accèdent.

En plus de ces mises à jour automatiques, les hackers exécutent une autre technique pour amplifier l'efficacité de leur dépôt et atteindre les meilleurs résultats. Ils utilisent plusieurs faux comptes pour ajouter de fausses étoiles à leurs référentiels, pour donner un sentiment de popularité et de fiabilité. Enfin, pour échapper à la détection, ils ont dissimulé le code malveillant dans les fichiers du projet Visual Studio (.csproj ou .vcxproj), qui est automatiquement exécuté lors de la création du projet.

Maintenir la persistance du malware avec une tâche planifiée

Les chercheurs ont remarqué que la charge utile de ces logiciels malveillants est livrée en fonction de l'origine de la victime. Lors de la récente campagne, les hackers ont utilisé un fichier exécutable volumineux qui partage des similitudes avec le malware « Keyzetsu clipper », connu pour cibler les portefeuilles de cryptos. Le 3 avril 2024, l'attaquant a mis à jour le code dans l'un de ses référentiels en créant un lien vers une nouvelle URL qui télécharge un autre fichier crypté « .7z ». L'archive contenait un exécutable nommé feedbackAPI.exe.

Pour augmenter artificiellement la taille du fichier et dépasser la limite de diverses solutions de sécurité, notamment VirusTotal, les pirates ont complété l'exécutable avec de nombreux zéros, le rendant ainsi impossible à analyser. Le malware maintient la persistance en créant une tâche planifiée qui lance l'exécutable tous les jours à 4 heures du matin sans confirmation de l'utilisateur. Cette utilisation de référentiels GitHub malveillants pour distribuer des logiciels malveillants est une véritable plaie pour l'écosystème open source.

Désormais, il semble que la simple vérification des vulnérabilités connues ne suffise plus, et qu'une révision régulière du code soit nécessaire pour verrouiller pour de bon les plateformes open source, qui ne sont pas, comme on le sait, forcément les plus sécurisées.

Sources : Security Affairs, Checkmarx