Kaspersky met en garde contre des projets GitHub infestés de logiciels malveillants : comment les pirates volent les identifiants

La société de cybersécurité Kaspersky a mis en garde contre l'exploitation de GitHub par des cybercriminels pour diffuser des logiciels malveillants voleurs d'identifiants via de faux référentiels.

La campagne, baptisée « GitVenom », consiste pour les attaquants à créer des projets apparemment légitimes, mais truffés de code malveillant qui infecte les appareils des utilisateurs dès le téléchargement.

Ces référentiels sont conçus pour cibler les développeurs, les utilisateurs de cryptomonnaies et les entreprises qui dépendent de logiciels open source.

Les recherches de Kaspersky, publiées le 24 février, mettent en lumière la manière dont les acteurs malveillants manipulent la plateforme GitHub pour rendre leurs référentiels crédibles.

En utilisant l'intelligence artificielle pour générer de la documentation et en mettant à jour les horodatages pour suggérer un développement actif, les pirates informatiques incitent les utilisateurs sans méfiance à télécharger et à exécuter des logiciels malveillants.

Les risques vont au-delà des développeurs à la recherche d'outils open source.

Les logiciels malveillants présents dans ces référentiels comprennent des voleurs d'informations, des chevaux de Troie d'accès à distance (RAT) et des détourneurs de presse-papiers, tous visant à siphonner les identifiants, les wallets crypto-monnaie et les données personnelles.

Les cybercriminels perfectionnant constamment leurs tactiques, les utilisateurs de GitHub sont confrontés à une menace de cybersécurité en constante évolution qui s'étend à de multiples secteurs.

Logiciel malveillant déguisé en logiciel

Le rapport de Kaspersky détaille comment les pirates informatiques utilisent des tactiques trompeuses pour diffuser des logiciels malveillants sous couvert d'outils utiles.

De nombreux faux référentiels prétendent proposer des logiciels tels que des bots Telegram pour la gestion de portefeuilles Bitcoin ou des outils d'automatisation pour les plateformes de médias sociaux comme Instagram.

En réalité, ces projets servent de couverture pour la distribution de logiciels malveillants conçus pour collecter des données sensibles.

Une fois installé, le logiciel malveillant s'active et commence à extraire les identifiants de connexion, les informations des wallet crypto-monnaie et l'historique de navigation.

Les données volées sont ensuite transmises aux attaquants via Telegram, leur permettant d'accéder aux comptes et de voler des fonds à distance.

Les pirates de presse-papiers augmentent encore le risque en surveillant les adresses de portefeuille copiées et en les remplaçant par des adresses contrôlées par les pirates, redirigeant ainsi les transactions vers les cybercriminels.

Les recherches de Kaspersky ont révélé que bon nombre de ces projets malveillants sont actifs depuis au moins deux ans, soulignant leur efficacité à tromper les victimes.

La sophistication de ces attaques suggère que les cybercriminels ont identifié GitHub comme un vecteur lucratif de distribution de logiciels malveillants, et qu'ils continueront probablement à affiner leurs techniques.

Vols de cryptomonnaies liés à GitVenom

L'impact de la campagne GitVenom a été significatif, les pirates ayant réussi à détourner des fonds auprès de victimes sans méfiance.

Dans un cas signalé en novembre 2024, un portefeuille contrôlé par un pirate informatique a reçu cinq Bitcoins, d'une valeur d'environ 442 000 $ à l'époque.

Bien que les référentiels GitHub infectés par des logiciels malveillants aient été découverts dans le monde entier, Kaspersky note que les utilisateurs en Russie, au Brésil et en Turquie ont été touchés de manière disproportionnée.

Compte tenu du grand nombre de développeurs et d'entreprises qui utilisent GitHub pour le développement de logiciels, ces attaques pourraient s'intensifier si des mesures de sécurité proactives ne sont pas adoptées.

L'utilisation croissante de documentation générée par l'IA et de journaux de mise à jour trompeurs suggère que les acteurs malveillants font évoluer leurs méthodes pour éviter d'être détectés.

Les chercheurs en sécurité avertissent que, à moins que GitHub et ses utilisateurs ne mettent en œuvre des processus de vérification plus stricts, des campagnes de logiciels malveillants similaires persisteront, entraînant davantage de vols d'identifiants et de pertes financières.

L'industrie des cryptomonnaies a perdu 1,49 milliard de dollars en 2024.

Les conclusions de Kaspersky correspondent aux tendances plus générales de la cybersécurité dans le secteur des cryptomonnaies.

Selon un rapport de la société de sécurité blockchain Immunefi, le secteur des cryptomonnaies a subi des pertes de 1,49 milliard de dollars en raison de piratages et de fraudes en 2024.

Cela représente une baisse de 17 % par rapport à 2023, mais les incidents de piratage informatique restent la principale cause des pertes financières.

Sur les 1,49 milliard de dollars perdus au total, 1,47 milliard — soit 98,1 % — sont attribués à des piratages, avec 192 incidents documentés.

La fraude, y compris les arnaques de type « rug pull » et les escroqueries de sortie, a représenté 28 millions de dollars, soit seulement 1,9 % des pertes totales.

Cependant, les cas de fraude ont augmenté de 72 % sur un an, reflétant une sophistication croissante des tactiques des cybercriminels.

Si la diminution des pertes globales suggère une amélioration des mesures de sécurité, le nombre d'attaques reste élevé.

En 2023, 320 incidents de piratage ont été signalés, contre 232 en 2024, soit une réduction de 27,5 %.

Les experts en cybersécurité avertissent que, malgré les progrès accomplis, des plateformes comme GitHub continuent d'être exploitées, et que des stratégies de sécurité plus ciblées sont nécessaires pour atténuer les risques.

Face à l'évolution des techniques des cybercriminels, les organisations et les développeurs doivent faire preuve de prudence lorsqu'ils téléchargent des logiciels depuis des plateformes open source.

La prolifération de faux référentiels générés par l'IA, conjuguée à la menace persistante de cyberattaques liées aux cryptomonnaies, souligne la nécessité de méthodes de vérification renforcées pour prévenir des pertes financières à grande échelle.