Des pirates informatiques utilisent SourceForge pour diffuser des logiciels malveillants de cryptominage déguisés en outils Microsoft Office.

Une opération de diffusion de logiciels malveillants à grande échelle a exploité SourceForge, un référentiel de logiciels open source de confiance, pour distribuer des logiciels malveillants ciblant les cryptomonnaies via des téléchargements trompeurs de logiciels bureautiques.

Entre janvier et mars, plus de 4 600 appareils — principalement en Russie — ont été compromis.

L'attaque a été découverte par Kaspersky, qui a publié des conclusions détaillées le 8 avril.

Les attaquants ont utilisé les outils de la plateforme SourceForge pour créer une façade convaincante à leur campagne, en établissant un faux projet qui imitait les modules complémentaires de Microsoft Office.

Derrière son apparence conviviale pour les développeurs, cependant, l'infrastructure a servi de tremplin pour des logiciels malveillants.

L'opération combinait l'obfuscation de fichiers, la protection par mot de passe et de gros installateurs factices pour éviter la détection et maintenir la persistance sur les systèmes infectés.

Plus de 4 600 appareils ont été touchés.

Les chercheurs ont retracé la campagne jusqu'à une page hébergée sur SourceForge nommée « officepackage », qui imitait des extensions Microsoft Office extraites de GitHub.

Une fois publié, le projet a automatiquement reçu son propre sous-domaine : officepackage.sourceforge.io.

Ce sous-domaine a ensuite été indexé par des moteurs de recherche comme Yandex, le rendant facilement découvrable par des utilisateurs non avertis recherchant des logiciels bureautiques.

Lorsque les utilisateurs visitaient la page, ils étaient accueillis par ce qui semblait être une liste légitime d'outils bureautiques téléchargeables.

En cliquant sur les liens, ils ont été redirigés plusieurs fois avant de recevoir une petite archive zip.

Une fois décompressée, l'archive a gonflé pour devenir un installateur de 700 Mo conçu pour tromper les utilisateurs et échapper aux analyses antivirus.

Un faux installateur cache un logiciel malveillant.

Le programme d'installation contenait des scripts intégrés qui téléchargeaient des charges utiles supplémentaires depuis GitHub.

Ces charges utiles comprenaient un mineur de cryptomonnaie et un ClipBanker — un logiciel malveillant qui détourne le contenu du presse-papiers pour rediriger les transactions de cryptomonnaie vers des portefeuilles contrôlés par l'attaquant.

Avant d'installer le logiciel malveillant, un script vérifie la présence d'outils antivirus.

Si aucun n'est trouvé, la charge utile procède au déploiement d'utilitaires de support comme AutoIt et Netcat.

Un autre script envoie des informations sur l'appareil à un bot Telegram contrôlé par les acteurs malveillants.

Ces informations aident les attaquants à déterminer quels systèmes infectés sont les plus précieux ou les plus appropriés pour la revente sur le dark web.

SourceForge utilisé pour la livraison

L'utilisation de SourceForge comme vecteur d'infection initial a conféré à la campagne un avantage en termes de crédibilité.

Connu pour son rôle dans la distribution de logiciels open source légitimes, SourceForge a permis aux attaquants de contourner de nombreux signaux d'alerte généralement associés aux téléchargements malveillants.

L'utilisation par les attaquants des fonctionnalités intégrées de projet et d'hébergement du site a permis au logiciel malveillant de se faire passer pour une application fiable sans nécessiter d'infrastructure externe.

Les données de Kaspersky indiquent que 90 % des tentatives d'infection provenaient d'utilisateurs russes.

Bien que la charge utile initiale se concentre sur le vol de cryptomonnaies, les chercheurs ont averti que les appareils compromis pourraient être réutilisés ou vendus à d'autres groupes criminels pour une exploitation ultérieure.

Yandex et GitHub contribuent à la diffusion.

L'efficacité de la campagne a été renforcée par l'indexation du sous-domaine SourceForge sur Yandex, l'un des plus grands moteurs de recherche russes.

Cette visibilité accrue auprès des victimes potentielles, notamment celles qui recherchent des logiciels de productivité en ligne.

L'utilisation de GitHub comme emplacement d'hébergement secondaire pour les téléchargements de logiciels malveillants a permis aux attaquants de maintenir et de mettre à jour les charges utiles facilement.

La réputation de sécurité de GitHub, largement répandue, a encore davantage masqué les intentions malveillantes de l'opération.

Kaspersky n'a pas révélé l'identité des responsables de la campagne, et rien n'indique que SourceForge ou GitHub aient été complices.

Les deux plateformes semblent avoir été exploitées via leurs fonctionnalités publiques. Il n'est pas encore clair si le projet malveillant a depuis été supprimé.