Accueil » , » Des dépôts Github infectés de trojans

Des dépôts Github infectés de trojans

Aucun commentaire
Trojan

Une vaste campagne malveillante menée via GitHub a été découverte par ReversingLabs. Baptisée “Banana Squad” par les chercheurs de ReversingLabs, cette opération implique 67 dépôts GitHub diffusant des outils Python trojanisés, notamment pour les jeux et le développement, mais infectant en réalité les utilisateurs avec des backdoors.

Contexte et continuité d’anciennes campagnes

Banana Squad s’inscrit dans la continuité d’une campagne découverte en 2023, ciblant le registre PyPI avec des packages Python truqués téléchargés plus de 75 000 fois sur Windows et conçus pour voler des données sensibles.

Auparavant, en novembre 2024, le SANS Internet Storm Center a signalé un dépôt GitHub prétendant offrir un outil « steam‑account‑checker » ; celui-ci téléchargeait discrètement un payload camouflé, compromettant le portefeuille Exodus et transmettant les données vers dieserbenni[.]ru.

Méthodes d’attaque et dissimulation

Les dépôts trojanisés sont des copies nominales de véritables projets open-source de Python, hébergeant des milliers de scripts injectés de backdoors. Pour masquer le code malveillant, les attaquants utilisent :

  • Longues lignes de code dissimulées hors écran via l’interface de GitHub (pas de retour à la ligne automatique).
  • Chiffrement et encodage du code malveillant (Base64, hexadécimal, Fernet).
  • Repos souvent hébergés sur des comptes GitHub n’ayant qu’un seul dépôt, dépourvus d’historique ou d’activité, ce qui indique une création fictive.
  • Détails trompeurs dans la description contenant des mots-clés populaires et emojis (flammes, fusées) pour attirer les recherches via AI.

Cibles de la campagne

Les dépôts visent particulièrement :

  • Des outils de nettoyage de compte Discord, Fortnite cheats, vérificateurs de noms TikTok, vérificateurs PayPal en masse, etc.

Ces outils ciblent les joueurs et les développeurs à la recherche de scripts “hacking” ou de triches faciles.

Techniques de distribution et infrastructure

Les charges utiles trojanisées utilisent des URL vers des domaines contrôlés par les pirates, comme dieserbenni[.]ru et 1312services[.]ru. Les scripts Python eux-mêmes contiennent du code pour télécharger les backdoors à partir de ces infrastructures hostiles.

Un autre rapport de Trend Micro sur la campagne Water Curse (18 juin 2025) a révélé l’existence de 76 comptes GitHub diffusant des malwares en multi‑étapes via phishing repos, VBS/PowerShell, info‑stealers, etc.

De même, Check Point a identifié le réseau Stargazers Ghost Network, avec près de 3 000 comptes fantômes, offrant un service de distribution de malware à grande échelle via faux likes, forks, “stars”, etc.

Impact potentiel et victimes

Ces backdoors Python ciblent Windows et visent à :

  • Faire des reconnaissances système
  • Désactiver la défense système
  • Stéaler des identifiants, tokens de session, données de navigateurs, de portefeuilles crypto, etc.

Le nombre exact de victimes est inconnu, mais il est probable que de nombreux développeurs ou gamers aient installé ces outils sans se méfier, intégrant ainsi du code malveillant dans leurs machines ou projets.

Réponse et recommandations

Voici les conseils essentiels issus des analyses :

  • Vérification systématique : Confirmer que le dépôt provient bien d’un compte légitime, avec historique et activité cohérente.
  • Analyse de différences : Utiliser des outils comme Spectra Assure/Analyze pour comparer les versions suspectes avec des EPURÉES.
  • Inspection du code caché : Passer en mode d’affichage hexadécimal ou forensique pour repérer les longues lignes malveillantes hors écran.
  • Surveillance des infrastructures : Vérifier les domaines connus (dieserbenni.ru, 1312services.ru) dans la chaîne de distribution.
  • Scepticisme face à l’apparence trompeuse : Les packs visent à paraître populaires et légitimes mais peuvent être vides ou échafaudés pour tromper.

Contexte plus large des attaques par supply chain logicielle

GitHub, comme d’autres écosystèmes (npm, PyPI), est devenu une cible majeure pour l’injection de malwares dans la supply chain logicielle :

  • Récentes campagnes, comme Water Curse et Stargazers Ghost Netzwerk, utilisent des milliers de comptes pour promouvoir des dépôts malveillants.
  • Les raisonneurs de packages légitimes diminuent, mais les tentatives de contrefaçon, typo‑squatting et obfuscation augmentent.
  • Des études universitaires sur les « stars falsifiées » et les failles invisibles (‘Trojan Source’) confirment que ces attaques se déploient à large échelle sur GitHub et affectent même l’entraînement des IA et des LLM.

En résumé

La campagne Banana Squad démontre l’évolution de la menace : des malwares visant non plus les registres de packages (npm, PyPI) mais la plateforme GitHub elle‑même, via des dépôts trojanisés. L’attaque cherche à tromper les utilisateurs avec des outils qui semblent familiers et populaires, mais qui cachent des backdoors sophistiquées.

Face à cette menace croissante, les développeurs doivent :

  • Toujours vérifier l’authenticité d’un dépôt avant de l’utiliser
  • Faire des revues de code complètes, utiliser des outils de diff et d’analyse statique
  • Contrôler les flux réseau des scripts importés
  • Suivre les recommandations de sécurité et rester informés des domaines malveillants

En fin de compte, la confiance excessive dans les plateformes open-source sans vérification expose à des attaques de la chaîne d’approvisionnement logicielle, qui peuvent provoquer des vols de données, l’installation de logiciels espions ou la compromission complète des systèmes.

Source : The Hacker News - 200+ Trojanized GitHub Repositories Found in Campaign Targeting Gamers and Developers.

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags

Archives du blog