Plus de 100 000 référentiels GitHub propagent des packages malveillants

More than 100,000 GitHub repositories found spreading malicious packages

Contexte : GitHub sert de plateforme colossale pour le développement de logiciels, hébergeant près d’un demi-milliard de projets de code créés par des centaines de millions de développeurs dans le monde. Compte tenu de sa portée étendue et du volume considérable de ses activités, la plateforme représente une opportunité pour les cybercriminels, qui ont dans ce cas exploité le vaste réseau pour orchestrer une campagne malveillante basée sur Python.

Les chercheurs en sécurité d’Apiiro ont récemment découvert une campagne de propagation de logiciels malveillants conçue pour exploiter les capacités de la plateforme GitHub. L’attaque, qui a débuté en mai 2023 avec « plusieurs » packages malveillants téléchargés sur le référentiel officiel Python Package Index (PyPI), était capable d’impacter au moins 100 000 référentiels GitHub et « vraisemblablement » des millions d’autres.

La campagne contre les logiciels malveillants est une démonstration de la manière dont les acteurs malveillants peuvent facilement exploiter la capacité de GitHub à créer automatiquement et efficacement des référentiels de code, a déclaré Apiiro. Les cybercriminels inconnus ont cloné les dépôts existants, les infectant avec des chargeurs de logiciels malveillants avant de télécharger le code compromis sur GitHub sous des noms identiques.

GitHub fournit des API et des outils conviviaux pour les développeurs qui peuvent être utilisés pour générer automatiquement des comptes et des dépôts, et les criminels ont exploité cette fonctionnalité pour copier les packages malveillants téléchargés des milliers de fois. Lorsqu’un développeur sans méfiance utilise un dépôt compromis, ont expliqué les chercheurs d’Apiiro, il contribue à propager le code malveillant, qui est principalement une version modifiée de BlackCap-Grabber.

Plus de 100 000 referentiels GitHub propagent des packages malveillants

Le malware utilise sept couches d’obscurcissement pour tenter de masquer ses charges utiles, conçues pour collecter les informations de connexion, les mots de passe et les cookies du navigateur, ainsi que d’autres données confidentielles. Une fois terminée, la collecte est envoyée à un serveur de commande et de contrôle (C&C) géré par les cybercriminels tout en effectuant une « longue série » d’activités malveillantes supplémentaires.

GitHub a confirmé qu’il était au courant de l’existence de la campagne et que lutter contre ce type d’activité est plus facile à dire qu’à faire. La plateforme héberge plus de 100 millions de développeurs répartis sur plus de 420 millions de référentiels, et des équipes dédiées travaillent pour détecter, analyser et supprimer le contenu et les comptes qui violent les politiques d’utilisation acceptable de la plateforme.

Des procédures de test manuelles et basées sur l’apprentissage automatique sont utilisées pour détecter et lutter contre les « tactiques contradictoires », a déclaré GitHub, mais l’entreprise est apparemment victime de son propre succès. L’attaque récemment découverte semble être en grande partie automatisée à grande échelle, et GitHub est conçu pour promouvoir l’automatisation et la réutilisation du code. Même si 1 % des dépôts compromis survivent, a expliqué Apiiro, des milliers de référentiels de code malveillants mais d’apparence légitime se cachent toujours sur GitHub.

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video