10 000 dépôts GitHub distribuent des malwares Trojan
Original : I found 10k GitHub repositories distributing Trojan malware
Pourquoi c'est important
Révèle une campagne de malware à grande échelle exploitant GitHub comme vecteur de distribution, soulevant des préoccupations sur la modération des plateformes.
Un chercheur a découvert 10 000 dépôts GitHub distincts distribuant des malwares Trojan. Ces dépôts partagent un modèle commun : mises à jour fréquentes d'un fichier readme contenant des liens vers des archives zip contenant du code malveillant détecté par VirusTotal.
Le chercheur a d'abord remarqué que son propre dépôt GitHub avait été cloné avec tous les commits intacts, puis modifié quelques heures plus tard pour ajouter un lien vers une archive zip. Après avoir signalé le problème au support GitHub sans réponse pendant deux semaines, puis un mois supplémentaire, les dépôts ont finalement été supprimés. Cependant, le chercheur a découvert que ce n'était pas un cas isolé. En développant un script d'analyse, il a identifié un modèle commun : chaque dépôt supprime son commit précédent toutes les quelques heures et en pousse un nouveau modifiant uniquement le fichier readme pour ajouter un lien vers une archive zip. Les archives contiennent des fichiers exécutables (.exe, .cmd) qui ne sont détectées comme Trojan que lorsque le fichier zip entier est analysé, pas lorsque seul le lien est soumis. Les 10 000 dépôts malveillants utilisent tous des contributeurs différents et des noms différents, ce qui rend difficile leur détection par des méthodes traditionnelles. Le chercheur a développé un script basé sur ce modèle pour analyser les dépôts GitHub et identifier les campagnes de distribution de malwares à grande échelle.