Des chercheurs en cybersécurité ont récemment découvert une campagne malveillante exploitant, une fois de plus, la plateforme de GitHub pour diffuser des logiciels déguisés en utilitaires populaires.
Le répertoire open source de GitHub est pris d'assaut par des malwares ciblant les internautes à la recherche de solutions gratuites. Dernièrement, c'est la promesse d'un VPN gratuit qui a été repéré par le cabinet de sécurité Cyfirma.
Des cybercriminels ont hébergé sur GitHub des fichiers présentés comme des outils gratuits, tels que "Free VPN for PC" ou "Minecraft Skin Changer". Pour contourner les filtres de sécurité mis en place par Microsoft sur la plateforme, ces fichiers sont proposés sous forme d’archives ZIP protégées par mot de passe, accompagnées d’instructions détaillées.
Le fichier principal, nommé "Launch.exe", agit comme un dropper, c’est-à-dire un programme conçu pour installer un autre logiciel malveillant à l’insu de l’utilisateur. Ce dernier décode un composant caché sous la forme d’une bibliothèque dynamique (DLL) encodée en Base64 et masquée. L’obfuscation rend logiquement le code difficile à analyser, avec des transformations mathématiques ou des textes sans signification apparente. Une fois exécuté, le dropper dépose la DLL dans un répertoire discret du système, puis la charge en mémoire grâce à des appels spécifiques à l’API Windows.
27 juin 2025 à 11h32
Cette DLL est conçue pour injecter un malware connu sous le nom de Lumma Stealer. Ce logiciel malveillant collecte des informations sensibles sur la machine infectée, telles que les identifiants enregistrés dans les navigateurs, les portefeuilles de cryptomonnaie ou d’autres données confidentielles.
Lumma Stealer, si ce nom de vous est pas étranger, c'est parce que Microsoft et Europol se sont récemment associés pour lui barrer la route en menant une vaste opération internationale pour s'emparer d'une partie de son infrastructure. Le mois dernier, nous apprenions que plus de 1 500 joueurs de Minecraft avaient été victimes d'un malware contenu dans de faux mods distribués via GitHub.
Le malware semble cependant toujours actif. La bonne nouvelle, c'est qu'il est désormais bien connu des éditeurs de logiciels antivirus
27 juin 2025 à 09h45
