Une vaste campagne de malwares, baptisée « TroyDen's Lure Factory », vient d'être mise au jour sur GitHub par Netskope Threat Labs. Elle diffuse des logiciels malveillants déguisés en outils légitimes sur la plateforme dédiée aux développeurs.
Netskope Threat Labs a décidé de dévoiler cette semaine une campagne de malwares d'une redoutable ingéniosité. Plus de 300 packages piégés distribués sur GitHub ont été dénichés, avec des victimes géolocalisées et photographiées à distance à leur insu, et un logiciel malveillant programmé pour rester en sommeil si longtemps que les outils de sécurité renoncent à l'analyser. Et figurez-vous, ô surprise, que derrière tout cela, l'IA semble avoir beaucoup servi.
GitHub, Telegram, Roblox : une campagne malveillante qui visait tout le monde
Comme l'explique Netskope Threat Labs, les soucis commencent par un dépôt GitHub en apparence irréprochable. « AAAbiola/openclaw-docker » se présente comme un outil de déploiement Docker pour OpenClaw, un vrai projet d'IA. Le README est soigné, les instructions détaillées pour Linux et Windows, on a une page GitHub.io dédiée, et des contributeurs crédibles, dont un développeur avec un repo à 568 étoiles.
Mais openclaw-docker est l'arbre qui cache la forêt maléfique. Car derrière, c'est toute une fabrique qui tourne. Les chercheurs ont identifié plus de 300 packages distribués depuis plusieurs dépôts, avec des leurres aussi variés qu'un cheat pour le jeu Fishing Planet, des scripts Roblox, des bots crypto, des cracks de VPN ou encore un prétendu traqueur téléphonique promu sur Telegram.
Pour asseoir la crédibilité des dépôts, TroyDen a joué à fond sur la preuve sociale. Des dizaines de faux comptes GitHub ont ajouté des étoiles et des forks sans jamais contribuer au code. En parallèle, le canal Telegram « NumberLocationTrack », actif depuis juin 2025, a relayé l'une des campagnes auprès de plus de 10 000 personnes, bien au-delà de ses 1 900 abonnés officiels.
Un malware conçu pour dormir 29 000 ans et passer entre les mailles
Le cœur du dispositif repose sur une mécanique assez ingénieuse, faite de deux fichiers séparément inoffensifs, mais qui réunis deviennent très dangereux. On retrouve un exécutable nommé unc.exe, qui est en réalité un interpréteur LuaJIT détourné, et un fichier license.txt qui contient un script Lua chiffré via Prometheus Obfuscator. Soumis individuellement à un antivirus, chacun passe sans broncher. Et déclenchés conjointement par un simple fichier batch, ils forment un malware complet.
Avant de passer à l'action, le logiciel malveillant s'assure d'abord de ne pas être observé. Il effectue cinq vérifications techniques pour détecter les environnements d'analyse utilisés par les chercheurs en sécurité : présence d'un débogueur, RAM insuffisante, uptime trop court, privilèges suspects, et nom de machine. Si quelque chose cloche, il s'arrête aussitôt. Sinon, il se met en veille pour une durée équivalente à 29 000 ans, suffisamment longtemps pour que tout logiciel d'analyse automatique abandonne sans avoir rien détecté.
Quand il s'exécute pour de vrai, tout s'enchaîne en moins de trente secondes. Le malware commence par couper discrètement les outils de surveillance réseau de l'entreprise (la détection de proxy réseau), puis récupère la localisation géographique de la victime et capture une photo complète de son écran, aussitôt envoyée à un serveur basé à Francfort. En retour, ce serveur C2 transmet des instructions chiffrées à la machine infectée, que les chercheurs associent avec un haut niveau de confiance à du vol d'identifiants.
L'IA au service d'une cybercriminalité à grande échelle
Ce qui distingue vraiment cette campagne, c'est son ampleur industrielle, avec au passage un détail révélateur. Les sous-dossiers piégés portent des noms parfaitement absurdes, empruntés à la biologie, au latin archaïque ou à la médecine. Diatrymiformes (un ordre d'oiseaux préhistoriques), nephrosclerosis (une maladie rénale)... Personne n'irait spontanément chercher ces termes pour nommer un dossier. Pour Netskope, c'est la signature claire d'une IA qui les a générés automatiquement, et en masse.
L'infrastructure derrière l'attaque est tout aussi impressionnante. Huit serveurs basés (huit adresses IP) à Francfort fonctionnent en parallèle, tous synchronisés à la perfection pour répondre de manière identique aux machines infectées, une architecture pensée pour tenir la charge face à des milliers de victimes simultanées. Un détail étonne, la façon dont le code du serveur est structuré évoque, selon Netskope, le travail d'une IA ayant suivi des instructions précises plutôt que celui d'un développeur humain.
Netskope a signalé les trois dépôts frauduleux à GitHub le 20 mars 2026. Sa solution de sécurité avait détecté la menace en analysant le comportement du logiciel en temps réel, sans jamais l'avoir rencontré auparavant. On retiendra qu'une belle page de présentation, un README soigné, de nombreux abonnés, et des contributeurs connus ne suffisent pas à garantir qu'un projet est sûr. GitHub, comme n'importe quelle plateforme en ligne, peut être détourné par des attaquants déterminés.
