GitHub héberge sans le savoir un malware presque impossible à détecter
Cybermalveillance
Cédric Balcon-Hermand 17 Views

Découverte d’un Malware Difficulté à Détecter sur une Plateforme de Développement

Des menaces malveillantes émergent au sein des dépôts publics de la plateforme de développement. En avril 2025, des cybercriminels ont utilisé cette plateforme pour diffuser un malware nommé Amadey, un outil de vol de données, dissimulant des éléments malveillants dans du code partagé, échappant à la détection des systèmes de sécurité standard.

Une Chaîne d’Infection par des Groupes Notoires

L’attaque est orchestrée par la communauté de cybercriminels nommée Emmenhtal, également appelée PEAKLIGHT, qui a déployé Amadey. Ce malware devient alors un vecteur pour d’autres logiciels malveillants tels que Lumma Stealer, RedLine Stealer et Rhadamanthys Stealer. Trois comptes ont été identifiés, notamment Legendary99999, DFfe9ewf, et Milidmdds, ayant hébergé ces fichiers avant leur suppression.

Des scripts JavaScript récupérés de ces dépôts ont démontré un lien avec une campagne de phishing antérieure en Ukraine. D’autres scripts, en Python, révèlent une version évoluée d’Emmenhtal, intégrant une commande PowerShell pour télécharger Amadey.

Amadey se distingue par ses plugins DLL personnalisables et ses capacités d’espionnage, telles que le vol d’identifiants et la capture d’écrans. Ce malware est l’élément d’un écosystème organisé, basé sur des services de malware-as-a-service. Sa faculté à déployer des ransomwares, tel que LockBit 3.0, souligne sa versatilité et sa dangerosité.

Campagne de Phishing SquidLoader à Hong Kong

Parallèlement, Trellix a souligné une campagne de phishing à Hong Kong impliquant SquidLoader. Ce malware utilise des techniques d’obfuscation pour échapper aux protections conventionnelles. Une fois installé, il établit une connexion à un serveur distant pour collecter des données système, tout en injectant une balise Cobalt Strike. Charles Crofford, chercheur chez Trellix, explique :

« Ses faibles taux de détection représentent une menace importante pour les organisations. »

Les attaques ne se limitent pas à cette plateforme; d’autres services comme AWS, des QR codes et des kits de phishing sont également touchés. Certaines tentatives imitent des services gouvernementaux tels que la sécurité sociale américaine, d’autres exploitent des fichiers SVG contenant du JavaScript obscurci. Selon Cofense, 57 % des attaques utilisant des techniques avancées en 2024 ont fait appel à des QR codes.

Vulnérabilités de l’Open Source

L’utilisation de cette plateforme pour héberger des malwares illustre une stratégie évolutive des cybercriminels. En capitalisant sur la réputation de la plateforme, ils réussissent à contourner les systèmes de protection, transformant le code ouvert en un terrain de jeu propice pour l’infiltration discrète de malwares.

L’article original est accessible ici.

Date de publication : 2025-07-21 17:30:00

Auteur : Cédric Balcon-Hermand – Consulter sa biographie, ses projets et son travail. Cet article a été vérifié, recoupé, reformulé et enrichi selon la ligne éditoriale d’Artia13, sans reprise d’éléments protégés.

Application officielle :
Téléchargez Artia13 Actualité sur Google Play

Retrouvez également tous nos contenus sur artia13.city

Notre IA contre la désinformation :
Analyzer Fake News – GPT spécialisé conçu par Artia13

Article rédigé, reformulé et vérifié par Cédric Balcon-Hermand selon la ligne éditoriale de l’Association Artia13 : lutte contre la désinformation, respect du droit d’auteur, éthique de l’information et autonomie intellectuelle.

Date de publication : 2025-07-21 18:30:00

Auteur : Cédric Balcon-Hermand – Consulter sa biographie, ses projets et son travail. Cet article a été vérifié, recoupé, reformulé et enrichi selon la ligne éditoriale Artia13, sans reprise d’éléments protégés.

Application officielle :
Téléchargez Artia13 Actualité sur Google Play

Retrouvez également tous nos contenus sur artia13.city

Notre IA contre la désinformation :
Analyzer Fake News – GPT spécialisé conçu par Artia13

Article rédigé, reformulé et vérifié par Cédric Balcon-Hermand selon la ligne éditoriale de l’Association Artia13 : lutte contre la désinformation, respect du droit d’auteur, éthique de l’information et autonomie intellectuelle.

Cédric Balcon-Hermand

Depuis 1998, je décrypte les mécanismes de l'information, de la manipulation et du pouvoir symbolique. Fondateur d'Artia13, je mets mes compétences en analyse des médias, enquêtes sensibles et cybersécurité au service de projets éducatifs et citoyens. Défendre la vérité, outiller les esprits critiques et sécuriser le numérique sont au cœur de mon engagement.

Vous Aimerez Peut-être Aussi

L’Israélien Pegasus sera-t-il bientôt jugé aux États-Unis pour l’espionnage de journalistes ?

L’Israélien Pegasus sera-t-il bientôt jugé aux États-Unis pour l’espionnage de journalistes ?

Cédric Balcon-Hermand
Italie : 32 cas de virus du Nil occidental après l’apparition d’un foyer d’infection au sud de Rome

Italie : 32 cas de virus du Nil occidental après l’apparition d’un foyer d’infection au sud de Rome

Cédric Balcon-Hermand
Renforcer la sécurité réseau avec pfSense

Renforcer la sécurité réseau avec pfSense

Cédric Balcon-Hermand