Github : des milliers de logiciels malveillants présents

Github : des milliers de logiciels malveillants présents

Le chercheur en sécurité Stephen Lacy a découvert un malware qui se propage des milliers de fois sur l’hébergeur de code Github. On dit qu’il existe déjà environ 35 000 fois. Il est introduit en contrebande via de simples demandes d’extraction.

Les données sont exportées

Selon Lacy, le but du malware est de voler les données des développeurs et des utilisateurs des applications infectées et de les diriger vers les serveurs des attaquants. Le logiciel malveillant tente de lire et de copier toutes les variables d’environnement du programme infecté. De cette façon, de nombreuses informations sur les ordinateurs infectés peuvent être exploitées, qui peuvent ensuite être utilisées ultérieurement. Les données exploitées, qui selon Lacy sont déjà utilisées, comprennent des clés pour les serveurs et les nuages.

Faux logiciel open source

Le malware arrive sur Github de différentes manières. Dans certains cas, de vrais projets open source sont copiés et enrichis de logiciels malveillants. Le faux est ensuite téléchargé sur Github et est difficile à distinguer de l’original. Le code malveillant pénètre également souvent dans des projets open source hébergés sur Github via des demandes d’extraction. Les demandes d’extraction prétendent être des modifications inoffensives des numéros de version ou des détails similaires et sont souvent approuvées sans autre vérification, ce qui signifie que le code malveillant est ensuite téléchargé avec le programme.

Avec cette dernière approche, les développeurs du logiciel malveillant croient que les fournisseurs des projets open source sont surchargés et apporteront des modifications mineures sans examen plus approfondi. Apparemment, cette approche réussit dans de nombreux cas. Lacy recommande aux fournisseurs d’utiliser des signatures GPG pour leur code afin de se protéger contre une telle falsification.

Pendant ce temps, l’équipe de sécurité de Github a commencé à traquer et à supprimer le code malveillant sur la plate-forme. Idéalement, toute personne ayant récemment téléchargé du code depuis Github devrait vérifier les applications correspondantes et les supprimer en cas de doute. De nombreuses applications open source sont proposées sur Github. Il en va de même pour un certain nombre d’outils PC gratuits pour le secteur des jeux.