Près de 300 nouveaux faux dépôts GitHub diffusent des logiciels malveillants

Près de 300 nouveaux faux dépôts GitHub diffusent des logiciels malveillants

Depuis fin juin, un total de 292 dépôts ont été créés sur GitHub sous des comptes jetables, tous partageant un schéma similaire. Chaque dépôt contient un fichier README truffé de contenu marketing plagié, intégrant un lien de téléchargement dissimulé. Notamment, la liste des marques imitée comprend Arctic Wolf.

Le 30 juin, un compte a établi le dépôt Arctic-Wolf-Security/.github, proposant une fausse liste de vérification de sécurité et un bouton « OFFICIAL PAGE » qui redirigeait vers un domaine contrôlé par l’opérateur de cette campagne. En réalité, un unique gabarit HTML/JavaScript est utilisé pour masquer cette opération, réutilisé pour 292 autres marques. Le script en question lit l’URL et génère dynamiquement le titre de la page ainsi que ses badges de confiance, dont VirusTotal Approved. Actuellement, une soixantaine de redirections sont encore actives, mais grâce à des signalements sur GitHub, la plupart des dépôts ont été supprimés.

Lorsqu’une victime clique sur le bouton vert « Download Secure Content », le malware se connecte à un point d’entrée unique sur le serveur, /download-archive, qui crée une archive ZIP à la volée. À l’intérieur, seuls deux fichiers sont destinés à l’infection : une version signée du logiciel de mise à jour WinGUP, portant le nom de la marque imitée, et une bibliothèque trafiquée libcurl.dll. Le reste de l’archive contient plusieurs DLL non liées à l’infection, visant à atteindre un poids total d’environ 136 Mo, ce qui semble plus crédible pour une victime attendant un logiciel légitime. De plus, le nom du fichier proposé au téléchargement change toutes les soixante secondes, tout comme celui de l’exécutable qu’il contient.

Une fois l’exécutable lancé, le processus légitime charge une DLL piégée à la place de la bibliothèque authentique, un mécanisme de détournement de chargement dynamique.

Cette situation soulève des questions quant à la rapidité de publication des dépôts, plusieurs étant créés chaque heure durant une semaine. Cela amène à s’interroger sur la possibilité que l’intelligence artificielle soit impliquée dans cette campagne. Toutefois, les éléments techniques suggèrent plutôt l’utilisation d’un script classique, le gabarit HTML unique s’adaptant à chaque marque au moment de l’affichage. Le texte des README est dérivé de contenus copiés des véritables marques, sans rédaction sur me. De plus, certains noms de comptes utilisés pour les redirections contiennent des insultes en russe, un détail qui semble peu probable pour un script généré par une IA.

Source : Clubic.

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *