GitHub a du mal à contenir une attaque en cours qui inonde le site de millions de dépôts de code. Ces dépôts contiennent des logiciels malveillants obfusqués qui volent des mots de passe et des cryptomonnaies sur les appareils des développeurs, ont déclaré des chercheurs. Les dépôts malveillants sont des clones de légitimes, ce qui les rend difficiles à distinguer pour un œil non averti. Une partie inconnue a automatisé un processus qui bifurque les dépôts légitimes, ce qui signifie que le code source est copié pour que les développeurs puissent l’utiliser dans un projet indépendant qui se base sur l’original. Le résultat est des millions de bifurcations avec des noms identiques à l’original qui ajoutent une charge utile enveloppée sous sept couches d’obfuscation. Pour aggraver les choses, certaines personnes, ignorantes de la malveillance de ces imitateurs, bifurquent les bifurcations, ce qui alimente l’inondation. « La plupart des dépôts forkés sont rapidement supprimés par GitHub, qui identifie l’automatisation », ont écrit Matan Giladi et Gil David, chercheurs de la société de sécurité Apiiro, mercredi. « Cependant, la détection de l’automatisation semble manquer de nombreux dépôts, et ceux qui ont été téléchargés manuellement survivent. Parce que toute la chaîne d’attaque semble être principalement automatisée à grande échelle, le 1% qui survit représente encore des milliers de dépôts malveillants. » Étant donné le renouvellement constant des nouveaux dépôts téléchargés et des suppressions par GitHub, il est difficile d’estimer précisément combien il y en a de chacun. Les chercheurs ont déclaré que le nombre de dépôts téléchargés ou bifurqués avant que GitHub ne les supprime est probablement de l’ordre des millions. Ils ont déclaré que l’attaque « impacte plus de 100 000 dépôts GitHub ». Les responsables de GitHub n’ont pas contesté les estimations d’Apiiro et n’ont pas répondu aux autres questions envoyées par courriel. Au lieu de cela, ils ont publié la déclaration suivante:
Menu
