Un Réseau Souterrain de Comptes Fantômes sur GitHub
Une étude récente révèle l’existence d’un réseau clandestin d’environ 3 000 comptes fantômes sur GitHub, manipulant discrètement des pages sur cette plateforme d’hébergement de code pour promouvoir des liens malveillants et de phishing.
Depuis au moins juin de l’année dernière, des chercheurs de la société de cybersécurité Check Point ont identifié un cybercriminel qu’ils ont surnommé « Stargazer Goblin« , qui héberge des dépôts de code malveillant sur cette plateforme détenue par Microsoft. GitHub, étant le plus grand site de code open-source au monde, abrite le travail de millions de développeurs. En plus de télécharger des dépôts malveillants, Stargazer Goblin utilise les outils communautaires de GitHub pour accroître la visibilité de ces pages.
Manipulation des Pages Malveillantes
Antonis Terefos, un ingénieur en rétro-ingénierie de logiciels malveillants chez Check Point, a découvert ces activités malveillantes. Il explique que l’individu derrière ce réseau utilise ses faux comptes pour « étoiler », « forker » et « suivre » les pages malveillantes. Ces actions, qui ressemblent à des interactions telles que « aimer », « partager » et « s’abonner », contribuent à donner une apparence de popularité et de légitimité aux pages. Plus une page reçoit d’étoiles, plus elle semble authentique. « Les dépôts malveillants paraissaient vraiment légitimes », affirme Terefos.
Terefos souligne l’ingéniosité de l’opérateur, qui exploite habilement le fonctionnement de GitHub. Bien que des cybercriminels aient abusé de GitHub pendant des années en téléchargeant du code malveillant et en adaptant des dépôts légitimes, il n’avait jamais observé un réseau de faux comptes agissant de cette manière sur la plateforme. Les transactions de dépôts et l’attribution d’étoiles sont coordonnées via un canal Telegram lié à la cybercriminalité et des marchés criminels.
Propagation de Logiciels Malveillants
Le réseau, nommé « Stargazers Ghost Network » par Check Point, diffuse des dépôts GitHub malveillants prétendant offrir des téléchargements d’outils pour les réseaux sociaux, les jeux vidéo et les cryptomonnaies. Par exemple, certaines pages prétendent fournir du code pour exécuter un VPN ou activer une version d’Adobe Photoshop. Ces dépôts ciblent principalement les utilisateurs de Windows, cherchant à tirer parti des personnes en quête de logiciels gratuits en ligne.
Le gestionnaire de ce réseau facture d’autres hackers pour utiliser ses services, que Check Point qualifie de « distribution en tant que service ». Ce réseau nuisible a été observé partageant divers types de ransomwares et de logiciels de vol d’informations, tels que l’Atlantida Stealer, Rhadamanthys et Lumma Stealer. Terefos a découvert ce réseau en étudiant des cas liés à l’Atlantida Stealer et estime que le réseau pourrait être plus vaste que prévu, ayant également constaté que des comptes GitHub légitimes étaient pris en charge à l’aide de détails de connexion volés.
Réponse de GitHub
Alexis Wales, vice-président des opérations de sécurité chez GitHub, a déclaré : « Nous avons désactivé des comptes utilisateurs conformément aux politiques d’utilisation acceptable de GitHub, qui interdisent la publication de contenu soutenant directement des attaques illégales ou des campagnes de logiciels malveillants causant des dommages techniques. Nous avons des équipes dédiées à la détection, à l’analyse et à la suppression de contenu et de comptes qui violent ces politiques. »
Avec plus de 100 millions d’utilisateurs ayant contribué à plus de 420 millions de dépôts sur la plateforme, il n’est pas surprenant que des cybercriminels cherchent à en abuser. Au cours des dernières années, les chercheurs ont cartographié des cas d’étoiles factices, détecté du code dangereux dissimulé dans des projets, et observé une augmentation des attaques de la chaîne d’approvisionnement contre des logiciels open-source, ainsi que l’utilisation de commentaires pour propager des logiciels malveillants.
