L’entreprise de sécurité Checkmarx tire la sonnette d’alarme: des acteurs malveillants utilisent des tactiques innovantes pour distribuer des malwares via GitHub, mettant en péril l’intégrité de la chaîne d’approvisionnement en code source ouvert. Dans une récente manœuvre, ces cybercriminels attirent les développeurs vers des fichiers de projet Visual Studio malveillants en exploitant les fonctionnalités de recherche de GitHub, notamment via l’utilisation trompeuse de la fonctionnalité des étoiles, censée symboliser la confiance.
Illusions Numériques et Ingénierie Sociale
À l’instar d’un joueur de cartes qui manipule son jeu pour favoriser une issue, les attaquants façonnent les résultats de recherche GitHub pour avantager leurs pièges numériques. Parmi leurs stratagèmes, ils font appel à GitHub Actions pour mettre à jour fréquemment et artificiellement leurs dépôts malveillants, les plaçant sous les projecteurs des résultats de recherches. En apparemment populaires, les dépôts piégés accumulent rapidement des étoiles via des comptes fictifs, exploitant l’habitude qu’ont les développeurs de faire confiance à des projets bien notés.
L’Attaque Invisible et la Persistance Discrète
Pour que le malware s’installe durablement, les cybercriminels programment des tâches planifiées activant le code malveillant dans la discrétion de la nuit. Ce code, associé au malware « Keyzetsu clipper », cible spécifiquement les portefeuilles de cryptomonnaies des utilisateurs sans viser les victimes en Russie.
Cette campagne de tromperie a déjà piégé des utilisateurs, comme en témoignent les plaintes et remontées des problèmes rencontrés. Checkmarx appelle à la vigilance, conseillant aux développeurs d’examiner minutieusement la fréquence des engagements et l’authenticité des profils des donneurs d’étoiles, et de recourir à des revues manuelles de code ou à des outils spécialisés pour détecter le malware.
En tant que développeur, votre meilleure défense reste l’œil du sceptique. Observez les fréquences de mise à jour et méfiez-vous des engagements trop fréquents ou des profils stargazers nouvellement créés. Considérez l’adoption d’outils de détection de malwares et d’intelligence spécifique à la sécurité de la chaîne d’approvisionnement. Avec ces pratiques, renforcez votre front contre ce trompe-l’œil numérique et garantissez la sécurité de votre espace de codage.
