Dans un terminal, on copie-colle des commandes pour aller vite, parfois même pour exécuter un script en une ligne. Une habitude parfois à risque, que Tirith cherche à encadrer avant tout téléchargement malheureux.
Développé par un chercheur indépendant répondant au pseudonyme Sheeki, Tirith se présente comme un outil léger, multiplateforme, conçu pour analyser les commandes exécutées dans un shell (bash, zsh, fish, PowerShell), en particulier celles collées depuis le presse-papiers, et repérer ce qui peut trahir une commande malveillante. Le genre de garde-fou qui tombe à pic face aux arnaques de type ClickFix, qui cherchent à vous inciter à télécharger et exécuter un script sans que vous ayez le temps de comprendre ce qui se passe.
La traque aux pièges planqués dans les commandes malveillantes
Techniquement, Tirith cible en priorité les attaques dites homoglyphes, dont le principe repose sur l’utilisation de caractères issus d’alphabets différents pour composer une adresse qui ressemble à s’y méprendre à un nom de domaine légitime.
Il étend cette logique à d’autres méthodes qui reposent sur le copier-coller, dans l’esprit des scénarios de type ClickFix, pensés pour inciter l’utilisateur ou l’utilisatrice à coller une commande vérolée dans le terminal sous couvert de résolution de problème, mais qui téléchargent et exécutent en réalité un script malveillant. Tirith repère au passage les enchaînements classiques comme curl | bash ou wget | sh, fréquents dans ce genre de commande à exécution directe, ainsi que les caractères invisibles, les inversions d’affichage permises par Unicode, ou les séquences d’échappement (caractères spéciaux qui modifient la manière dont le texte s’affiche) capables de dissimuler une partie du contenu.
L’outil peut également alerter en cas d’appel à des dépôts typosquattés ou à des registries non fiables, de tentative de modification de fichiers sensibles (comme .bashrc ou authorized_keys), ou d’URL contenant des identifiants exposés.
Un champ d’action limité, mais stratégique
Tirith ne prétend pas bloquer toutes les attaques terminales. Il ne s’agit pas d’un scanner de malware ou d’un outil de nettoyage, mais d’un système d’inspection locale qui détecte des anomalies dans les URL, les séquences Unicode ou les caractères invisibles. L’outil ne tourne pas en tâche de fond permanente, ne fait pas d’appels réseau, ne modifie pas la commande et ne nécessite ni compte ni accès cloud.
Attention toutefois, Tirith ne prend pas en charge le terminal Windows classique (cmd.exe), toujours ciblé dans certaines variantes de ClickFix. Et si l’outil est déjà disponible sur npm, GitHub, Scoop, apt, Homebrew et autres gestionnaires, il n’a pas encore été testé en profondeur sur l’ensemble des scénarios évoqués. Mais son approche a déjà séduit près de 1 600 personnes sur GitHub en quelques jours.
Toujours est-il que pour celles et ceux qui manipulent régulièrement des scripts, testent des commandes ou se laissent parfois convaincre par une ligne de dépannage copiée à la volée, Tirith pourrait justifier sa place dans la trousse à outils cyber, en gardant toutefois en tête qu’il s’agit d’un outil jeune, intégré au shell, et qu’un mauvais réglage peut aussi interférer avec certains usages ou configurations, selon les cas.
Sources : Tirith via GitHub, BleepingComputer
