LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des spécialistes en cybersécurité ont identifié un réseau de 3 000 comptes sur GitHub. Ces comptes abusent de la plateforme pour distribuer des ransomwares et des voleurs de données.
Une analyse de Check Point montre qu’un réseau clandestin d’environ 3 000 comptes « fantômes » sur GitHub a secrètement modifié les pages du site pour propager des logiciels malveillants et des liens de phishing.
Depuis juin dernier, un cybercriminel surnommé « Stargazer Goblin » héberge des dépôts de codes malveillants sur GitHub. Jusqu’ici, GitHub est la plus grande plateforme de code open source au monde, utilisée par des millions de développeurs. Stargazer Goblin optimise les pages en utilisant les outils communautaires de GitHub.
Antonis Terefos de Check Point explique que ce cybercriminel utilise ses faux comptes pour « marquer », « dupliquer » et « surveiller » les pages malveillantes.
Manipulation et apparence légitime des dépôts
Les dépôts malveillants semblent légitimes grâce aux actions des comptes fantômes. Plus une page a d’étoiles, plus elle semble authentique. « Les dépôts malveillants semblaient vraiment légitimes. », explique Terefos. La méthode utilisée par Stargazer Goblin est intelligente. Elle tire parti du fonctionnement de GitHub. Les actions sont coordonnées sur un canal Telegram et des marchés criminels.
Le réseau fantôme diffuse des dépôts malveillants proposant des outils de réseaux sociaux, jeux et cryptomonnaie. Par exemple, les pages prétendent fournir du code pour un VPN ou une licence Photoshop. Ces pages ciblent principalement les utilisateurs de Windows. L’opérateur facture d’autres pirates pour utiliser ses services, appelés « distribution en tant que service ».
Réaction de GitHub et défis de la détection
GitHub a désactivé les comptes d’utilisateurs conformément à ses politiques d’utilisation. Alexis Wales, vice-président des opérations de sécurité chez GitHub, explique que des équipes dédiées détectent, analysent et suppriment le contenu enfreignant les politiques.
La plateforme compte plus de 100 millions d’utilisateurs, avec 420 millions de dépôts. Par conséquent, cette ampleur attire les cybercriminels.
Vente de services et réseaux criminels
Stargazer Goblin vend ses services via des forums de cybercriminalité et un compte Telegram. Un message annonce 100 étoiles pour 10 dollars et 500 pour 50 dollars. En somme, le réseau aurait pu rapporter jusqu’à 100 000 dollars. En outre, Terefos a découvert des référentiels légitimes modifiés en référentiels malveillants. Si des utilisateurs légitimes forcent un référentiel malveillant, il peut diffuser du code malveillant.
Les utilisateurs de GitHub peuvent facilement télécharger du code malveillant, souvent basé sur des avis fictifs. Jake Moore d’Eset explique que les signes de code malveillant incluent des modifications de code inattendues ou suspectes. Terefos affirme que l’activité du réseau est probablement automatisée. Les dépôts sont traités rapidement, ce qui complique la détection pour GitHub.
Terefos a identifié un compte YouTube « fantôme » partageant des liens malveillants via des vidéos. Cela indique que le réseau pourrait être plus vaste. « Je pense que ce n’est pas tout », déclare Terefos. En réalité, l’activité du réseau pourrait inclure d’autres plateformes et techniques sophistiquées.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
