Depuis fin juin, près de 300 faux dépôts GitHub imitent des éditeurs de logiciels et d’outils de sécurité pour piéger des internautes en quête de téléchargements gratuits. Chaque dépôt cache un lien vers une fausse page de téléchargement sécurisé, qui livre un infostealer de la famille BoryptGrab, capable de siphonner mots de passe, portefeuilles crypto et comptes de jeu.

Près de 300 faux dépôts GitHub imitent cette fois des marques de logiciels et d'outils de sécurité connus - ©PJ McDonnell / Shutterstock
Près de 300 faux dépôts GitHub imitent cette fois des marques de logiciels et d'outils de sécurité connus - ©PJ McDonnell / Shutterstock

Le scénario a des airs de déjà-vu. Il n’y a même pas une semaine, on vous avait parlé d’un faux outil d’analyse DNS qui diffusait un malware via 222 dépôts GitHub piégés.

Trois jours plus tard, la société de cybersécurité Arctic Wolf a découvert une opération comparable, à plus grande échelle. Près de 300 faux dépôts GitHub imitent cette fois des marques de logiciels et d’outils de sécurité connus. Une archive ZIP, récupérée au bout du lien caché dans chaque dépôt, embarque un infostealer de la famille BoryptGrab. Le malware récupère mots de passe, cookies, portefeuilles crypto, jetons Discord et comptes Steam sur les machines infectées.

Une page de téléchargement unique qui imite 292 marques

Deux cent quatre-vingt-douze dépôts, tous créés depuis fin juin sous des comptes GitHub jetables, partagent le même scénario, un fichier README rempli de contenu marketing copié, avec un lien de téléchargement dissimulé au milieu. Ironie du sort, la liste des marques imitées inclut Arctic Wolf.

Le 30 juin dernier un compte a créé le dépôt Arctic-Wolf-Security/.github, avec une fausse liste de vérification de sécurité et un bouton « OFFICIAL PAGE » qui dissimulait un lien vers un domaine contrôlé par l’opérateur de la campagne. Mais c’est un seul gabarit HTML/JavaScript qui opère en réalité sous ce « vernis ». Il est ensuite réutilisé pour 292 autres marques. Le script lit l’URL et reconstruit à la volée le titre de la page ainsi que ses badges de confiance, VirusTotal Approved en tête. Une soixantaine de redirecteurs seulement sont encore actifs à ce jour. Grâce aux signalements reçus sur GitHub, la majorité des dépôts ont déjà disparu, heureusement.

Une fois que la victime, confiante, a cliqué sur le bouton vert « Download Secure Content », c'est parti. Le malware interroge un point d’entrée unique sur le serveur, /download-archive, qui construit l’archive ZIP à la volée.

À l’intérieur, deux fichiers seulement servent à l’infection, une version signée du logiciel de mise à jour WinGUP, au nom de la marque imitée, et une bibliothèque libcurl.dll trafiquée. Le reste de l’archive, plusieurs DLL sans rapport avec l'infection, sert uniquement à approcher un poids total proche de 136 Mo, plus crédible aux yeux d’une victime qui attend un vrai logiciel. Toutes les soixante secondes environ, le nom du fichier proposé au téléchargement change, de même que celui de l’exécutable qu’il contient.

Une fois l'exécutable lancé par la victime, le processus légitime charge depuis le même dossier une DLL piégée plutôt que la bibliothèque authentique. C'est le détournement de chargement dynamique.

Mais on a de quoi s’interroger. À un tel rythme de publication, plusieurs dépôts par heure sur une semaine complète, est-ce que l’IA ne serait pas derrière cette campagne ? Sinon, comment construire chacune des 292 pages recensées en si peu de temps ? Les éléments techniques indiquent plutôt un script classique. Le gabarit HTML unique façonne chaque marque à partir de l'URL au moment de l’affichage, un mécanisme incompatible avec une écriture sur mesure par page. Le texte marketing des README provient de contenus copiés depuis les vraies marques, non d'une rédaction personnalisée pour l’occasion. Certains noms de comptes utilisés pour les redirecteurs contiennent en revanche des insultes en russe, et une IA n’aurait aucune raison, au sens propre comme au figuré, d’en insérer dans son script.

Certains noms de comptes utilisés pour les redirecteurs contiennent en revanche des insultes en russe - ©BOY ANTHONY / Shutterstock
Certains noms de comptes utilisés pour les redirecteurs contiennent en revanche des insultes en russe - ©BOY ANTHONY / Shutterstock

Le malware vide les navigateurs, pille les portefeuilles et les comptes de jeu

Une fois exécuté en mémoire, sans jamais toucher le disque sous sa forme définitive, le programme parcourt onze étapes de vol dans un ordre figé, de la première capture de données jusqu’au dernier module. Dix-neuf navigateurs au moins y passent, Chrome et Edge compris, grâce à un contournement du chiffrement associé aux comptes obtenu par injection directe dans le processus du navigateur. Sur les disques connectés, le module suivant copie l’ensemble des sessions Telegram, avant de recueillir également les jetons Discord sur trois canaux différents et les identifiants de Max, la messagerie de Meta. Pour Steam c’est un traitement à part. Le programme relance l’application si nécessaire, patiente vingt secondes, puis lit la mémoire de ses processus pour en extraire des jetons de session actifs. Enfin, Arctic Wolf a dénombré quarante et un chemins de fichiers, associés à une trentaine de marques de portefeuilles de cryptomonnaies dans la liste des victimes financières.

Le premier module ne vole rien, il esquisse un profil de la machine à partir de vingt et un champs, dont l’adresse MAC et la carte graphique. Ces champs incluent l’empreinte SHA-1 du fond d’écran de la victime. Cette empreinte agit comme un identifiant quasi unique de la machine, utile pour repérer une victime déjà comptée, mais aussi pour détecter un environnement d’analyse automatisée, car ces machines partagent souvent un fond d'écran par défaut identique.

Le programme ne pose aucune persistance et ne cherche pas à tromper les outils d'analyse automatisée. Il laisse pourtant derrière lui un dossier temporaire complet, faute d’une routine de nettoyage, une preuve directe des données que l’opérateur a récupérées depuis un poste touché.

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services