Le chercheur en sécurité Stephen Lacy a découvert un malware qui se propage des milliers de fois sur l’hébergeur de code Github. On dit qu’il existe déjà environ 35 000 fois. Il est introduit clandestinement via de simples pull request.
Les données sont divulguées
Selon Lacy, le but du malware est de récupérer les données des développeurs et des utilisateurs des applications infectées et de les diriger vers les serveurs des attaquants. Le malware tente de lire et de copier toutes les variables d’environnement du programme compromis. De cette façon, de nombreuses informations sur les ordinateurs infectés peuvent être exploitées, qui peuvent être utilisées ultérieurement. Parmi les données exploitées déjà utilisées, selon Lacy, figurent les clés des serveurs et des cloud.
Faux logiciel open source
Le malware atteint Github de différentes manières. Dans certains cas, de véritables projets open source sont copiés et enrichis avec le malware. Le faux est ensuite téléchargé sur Github et est difficile à distinguer de l’original. Le malware pénètre également fréquemment dans les projets open source hébergés sur Github via des pull request. Les demandes d’extraction se font passer pour des modifications inoffensives des numéros de version ou de détails similaires, par exemple, et sont souvent approuvées sans autre vérification, de sorte que le code malveillant est ensuite téléchargé avec le programme.
Dans ce dernier cas, les développeurs de malwares s’appuient sur le fait que les fournisseurs des projets open source sont surchargés et approuvent des modifications mineures sans contrôles plus approfondis. Apparemment, cette approche réussit dans de nombreux cas. Lacy recommande aux fournisseurs d’utiliser les signatures GPG pour leur code afin de se protéger contre de telles intrusions.
L’équipe de sécurité de Github, quant à elle, a commencé à traquer et à supprimer les codes malveillants de la plateforme. Quiconque a récemment téléchargé du code depuis Github devrait idéalement vérifier les applications correspondantes et les supprimer en cas de doute. De nombreuses applications open source sont proposées sur Github.
