GitHub utilisé par des acteurs malveillants pour héberger un mineur de moneros

Distribué au travers d’une campagne publicitaire

Des acteurs malveillants s’appuient sur l’infrastructure de GitHub – une plateforme d’hébergement et de gestion de développement de logiciels – pour propager les malwares dont ils sont les auteurs. L’information est de la firme de sécurité Avast.

« Les cybercriminels créent des forks – ce qui sous GitHub veut dire copier le projet d’un tiers – et les modifient avec des commits contenant le code malicieux », lit-on dans le billet de blog de l’entreprise spécialisée en sécurité.

Les cybercriminels ont pensé aux personnes peu averties en matière de cybersécurité en montant le scénario d’infection. Il n’est en effet pas nécessaire qu’une potentielle victime se rende sur GitHub. Le logiciel malveillant est propagé via une campagne de phishing lancée sur des plateformes de gaming et des sites Web pour adultes. Il suffit que l’internaute clique sur une bannière publicitaire avec un message du type « Adobe Flash Player nécessite une mise à jour » pour que le téléchargement des ressources du mineur sur le poste cible soit lancé. Illustration avec l’animation montée par les chercheurs d’Avast à partir de l’adresse d’un site de gaming pour adultes.

Avast fait également état de ce que le logiciel malveillant installe une extension Chrome – qui exploite une ancienne version d’Adblock – et s’appuie sur cette dernière pour maintenir une campagne de clics frauduleux en arrière-plan.

On parle beaucoup de cryptojacking depuis septembre 2017, période à laquelle la plateforme The Pirate bay a inséré des scripts de minage de monnaies cryptographiques à ses pages. Forcément, les internautes sont avertis et développent des mécanismes de protection. L’un de ceux-ci consiste à fermer les pages du navigateur et, pour les plus habiles en informatique, à arrêter les processus correspondants en se servant du gestionnaire de tâches. Avast prévient contre la persistance de ce logiciel malveillant. Lors d’une infection, les cybercriminels configurent le système d’exploitation pour lancer le malware sur une base journalière. Les cas de redémarrage et d’utilisation du gestionnaire de tâches ont également été pris en compte et ne constituent pas des barrières à de nouveaux lancements.

GitHub et les auteurs du malware jouent au chat et à la souris d’après ce que rapporte Avast. Les responsables du site d’hébergement et de gestion de logiciels suppriment les dépôts pointés du doigt par la firme de sécurité, mais d’autres continuent d’apparaître sur la plateforme. Google a été contacté en ce qui concerne l’extension Chrome malicieuse. La firme n’aurait pas encore apporté de solution au problème.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image