Le code GitHub que vous utilisez pour créer une application à la mode ou des bugs existants de patch peut simplement être utilisé pour voler votre bitcoin (BTC) ou d’autres titulaires de crypto, selon un rapport de Kaspersky.
GitHub est un outil populaire parmi les développeurs de tous types, mais plus encore parmi les projets axés sur la crypto, où une application simple peut générer des millions de dollars de revenus.
Le rapport a averti les utilisateurs d’une campagne «Gitvenom» active depuis au moins deux ans mais qui est régulièrement en augmentation, impliquant la plantation de code malveillant dans de faux projets sur la plate-forme de référentiel de code populaire.
L’attaque commence par des projets Github apparemment légitimes – comme la fabrication de robots télégrammes pour gérer des portefeuilles Bitcoin ou des outils pour les jeux informatiques.
Chacun est livré avec un fichier de lecture poli, souvent généré par l’AI, pour établir la confiance. Mais le code lui-même est un cheval de Troie: pour les projets basés sur Python, les attaquants cachent un script néfaste après une chaîne bizarre de 2 000 onglets, qui décrypte et exécute une charge utile malveillante.
Pour JavaScript, une fonction voyou est intégrée dans le fichier principal, déclenchant l’attaque de lancement. Une fois activé, le logiciel malveillant tire des outils supplémentaires à partir d’un référentiel GitHub contrôlé par des hackers séparés.
(Un onglet organise le code, le rendant lisible en alignant les lignes. La charge utile est la partie fondamentale d’un programme qui fait le travail réel – ou le mal, dans le cas du malware.)
Une fois le système infecté, divers autres programmes entrent en jeu pour exécuter l’exploit. Un voleur Node.js récolte les mots de passe, les détails du portefeuille crypto et l’historique de navigation, puis les regroupe et les envoie via Telegram. Les chevaux de Troie à distance comme Asyncrat et Quasar prennent le contrôle de l’appareil de la victime, enregistrent les touches et capturant des captures d’écran.
Une «tondeuse» échange également des adresses de portefeuille copiées avec les fonds de redirection des pirates. L’un de ces portefeuilles a rapporté 5 BTC – d’une valeur de 485 000 $ à l’époque – en novembre seulement.
Actif depuis au moins deux ans, Gitvenom a frappé les utilisateurs les plus durement en Russie, au Brésil et en Turquie, bien que sa portée soit mondiale, par Kaspersky.
Les attaquants le gardent furtivement en imitant le développement actif et en variant leurs tactiques de codage pour échapper aux logiciels antivirus.
Comment les utilisateurs peuvent-ils se protéger? En examinant n’importe quel code avant de l’exécuter, en vérifiant l’authenticité du projet et en se méfiant de réadmes trop polis ou d’histoires de validation incohérentes.
Parce que les chercheurs ne s’attendent pas à ce que ces attaques s’arrêtent bientôt: «Nous nous attendons à ce que ces tentatives se poursuivent à l’avenir, peut-être avec de petits changements dans les TTP», a conclu Kaspersky dans son poste.
Share this content: