L’attaque de type ingénierie sociale utilisée par un groupe de hackers non identifié début mai 2023 et perpétuée jusqu’en juin de la même année, s’appuie sur le populaire site web GitHub. GitHub aide les développeurs à stocker et gérer leur code, il leur permet également de suivre et contrôler les modifications qui lui sont apportées.
L’entreprise VulnCheck, à l’origine de l’alerte, repère durant le mois de Mai 2023, des lignes de code malveillantes dans un script Python (« poc.py ») dans des repos GitHub possédés par de soi-disant chercheurs en cybersécurité, et ayant pour but d’être téléchargés et exécutés par des amateurs ou professionnels en cybersécurité.
Pour paraître légitime et se fondre dans le décor, les cybercriminels ont pris soin de se faire passer pour de réels chercheurs en informatique en utilisant la photo de chercheurs existants, en créant des comptes Twitter et GitHub tout en précisant travailler pour une entreprise fictive du nom de “High Sierra Cyber Security”.
Pour inciter à télécharger ces malwares, les cybercriminels ont prétendu qu’ils étaient des exploits relatifs à des failles 0-day dans des logiciels phares tel que Chrome, Discord, Whatsapp… De potentielles victimes curieuses et désireuses de comprendre ont pour quelques-unes télécharger ces malwares pouvant être à l’origine de graves dégâts et divulguer des données hautement confidentielles.
Au-delà de la simple implantation de malware, le défaut mis en évidence par ce groupe de cybercriminels, réside dans la vérification parfois trop rapide de certains codes proposés par des sources non identifiées formellement. Idéalement l’analyse du code par des outils de type SAST et son exécution préalable dans un environnement contrôlé (sandbox) devraient être réalisées. C’est plus facile à dire qu’à faire lorsqu’il s’agit justement de code par nature destiné à attaquer des systèmes.
Lors de pentests et audits, nos équipes attachent un soin particulier à la maîtrise des outils, leur provenance -souvent communautaire- et leur intégrité.
Sources :
https://therecord.media/hackers-create-fake-github-profiles
https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/