Un faux outil d'analyse DNS propage un malware via 222 dépôts GitHub

Un faux outil d’analyse DNS propage un malware via 222 dépôts GitHub

Un rapport récent met en lumière une campagne malveillante impliquant 222 dépôts GitHub, qui utilisent un flux de travail GitHub Actions identique. Ce mécanisme d’automatisation, associé à l’adresse ischhfd83@rambler.ru, lie un nom d’utilisateur variable au propriétaire du compte de façade. Environ toutes les minutes, l’automatisation réécrit un fichier de journal et force la publication des modifications, donnant l’apparence d’une maintenance récente à chaque projet. Cette méthode rappelle une campagne antérieure de faux dépôts, connue sous le nom de « TroyDen’s Lure Factory ».

Les dépôts ciblent principalement des utilisateurs prêts à exécuter du code non vérifié, notamment des portefeuilles de cryptomonnaie comme MetaMask et Trust Wallet, ainsi que des bots pour Telegram et Discord. Des triches pour des jeux vidéo, tels que PUBG et Valorant, sont également au cœur de cette opération. Par exemple, le dépôt nrevv1lad/Pubg-DESYNC-Menu se présentait comme une triche externe, proposant un guide d’installation, tandis que son arborescence contenait un fichier Loader.exe associé au voleur Vidar.

Les chercheurs de Sophos, Matt Wixey et Andrew O’Donnell, ont établi un lien entre ce cluster et une activité antérieure qu’ils avaient rapportée en 2025, où 141 dépôts avaient été associés à la même adresse email, dont 133 comportaient une porte dérobée. Les domaines muckcoding.com et muckdeveloper.com, qui reprennent l’alias « Muck », avaient déjà été identifiés dans cette enquête précédente.

Ce développement souligne l’importance d’une vigilance accrue lors de l’exécution de codes provenant de sources non vérifiées et met en évidence la persistance des menaces liées à la cybersécurité sur des plateformes de développement populaires.

Source : Clubic

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *