Une campagne de distribution de logiciels malveillants qui a débuté en mai dernier avec une poignée de packages de logiciels malveillants téléchargés sur l’Index des packages Python (PyPI) s’est étendue à GitHub et a atteint au moins 100 000 dépôts compromis. Selon la société de sécurité Apiiro, la campagne visant à empoisonner du code implique de cloner des dépôts légitimes, de les infecter avec des chargeurs de logiciels malveillants, de télécharger les fichiers modifiés sur GitHub sous le même nom, puis de dupliquer le dépôt empoisonné des milliers de fois et de promouvoir le code compromis dans des forums et sur les réseaux sociaux. Ainsi, les développeurs à la recherche de code utile peuvent se retrouver avec un dépôt décrit comme utile et qui semble approprié à première vue, pour finalement voir leurs données personnelles être volées par une charge utile cachée qui exécute du code Python malveillant et un exécutable binaire. « Le code malveillant (largement une version modifiée de BlackCap-Grabber) collecterait alors les identifiants de connexion de différentes applications, les mots de passe du navigateur et les cookies, ainsi que d’autres données confidentielles », ont déclaré Matan Giladi, chercheur en sécurité, et Gil David, responsable de l’IA, dans un rapport. « Il les envoie ensuite au serveur de commande et de contrôle des acteurs malveillants et effectue une longue série d’activités malveillantes supplémentaires. » Une analyse de Trend Micro du code malveillant décrit comment il utilise des techniques intelligentes pour dissimuler sa véritable nature. Par exemple, le code masque son utilisation de la fonction exec – pour exécuter du code de manière dynamique – grâce à une technique appelée « détournement de exec ».
Menu
