Nearly 300 GitHub repos pose as legit software to push malware

1 minute de lecture

Mis à jour :

Vague de malwares via des dépôts GitHub usurpés

Une vaste campagne de cybercriminalité utilise près de 300 dépôts GitHub frauduleux pour distribuer une variante du logiciel malveillant BoryptGrab. En usurpant l’identité de logiciels légitimes (outils de sécurité, cryptomonnaies, utilitaires système), les attaquants attirent les utilisateurs vers des pages de téléchargement factices imitant des sites officiels.

Points clés :

  • Méthode de propagation : Utilisation de dépôts GitHub redirigeant vers des pages de téléchargement dynamiques générées par un template HTML/JS commun.
  • Exécution : Le malware utilise une technique de DLL side-loading (chargement de libcurl.dll par un exécutable gup.exe légitime et signé) pour injecter le voleur d’informations en mémoire.
  • Impact : Vol massif de données (mots de passe, cookies, portefeuilles de cryptomonnaies, sessions Telegram/Discord/Steam) depuis 19 navigateurs web et applications de messagerie.
  • Capacité spécifique : Contournement de l’App-Bound Encryption de Chrome par injection directe de code.
  • C2 : Les données exfiltrées sont envoyées vers un serveur de commande et contrôle basé en Russie.

Vulnérabilités :

  • Aucun CVE spécifique n’est mentionné, car la technique repose sur le DLL Side-Loading et l’ingénierie sociale (confiance envers les dépôts GitHub). Le vecteur principal est l’exploitation de la crédulité des utilisateurs.

Recommandations :

  • Vigilance accrue : Ne télécharger des logiciels que depuis les sources officielles et vérifier systématiquement l’URL du dépôt GitHub.
  • Analyse : Utiliser les règles YARA et les indicateurs de compromission (IoC) fournis par Arctic Wolf pour détecter toute activité suspecte sur le réseau.
  • Sécurité des terminaux : Renforcer la surveillance des processus légitimes (comme les outils de mise à jour) qui pourraient être détournés pour charger des bibliothèques malveillantes.

Source