Cheat codes pour jeux vidéo, outils de pentesting ou logiciels de hacking. Derrière les apparences anodines de ces dépôts Github se cache en réalité des scripts malveillants qui installent des backdoors sur la machine de la victime dès la compilation ou l’exécution du programme.
Les chercheurs de Sophos ont identifié plus de 140 dépôts infectés, avec un acteur central: le pseudonyme « ischhfd83 ». Ces projets couvrent un large éventail de thématiques : cheats pour Apex Legends, Minecraft, Counter Strike, Valorant, Roblox, Fortnite, Call of Duty, GTA V, mais aussi des outils censés aider à pirater des comptes ou à contourner des protections logicielles.
Des méthodes d’infection variées et des cibles privilégiées
Pour piéger leurs victimes, les pirates emploient plusieurs techniques : code malveillant caché dans des scripts Python ou JavaScript volontairement illisibles, des virus embusqués dans des fichiers d’économiseurs d’écran Windows (.scr), des compilations piégées dans Visual Studio pour installer le malware en douce. Ils utilisent également des archives 7zip piégées, des scripts PowerShell pour automatiser l’infection, et modifient parfois des applications Electron afin d’y intégrer leur logiciel malveillant. Un large panel de méthodes qui permettent de dissimuler le danger dans des fichiers ou des étapes familières pour l’utilisateur
Pour plus de crédibilité, les dépôts sont massivement alimentés par des commits automatiques, donnant l’illusion d’une activité soutenue et d’un projet open source sérieux. Certains affichant des dizaines de milliers de commits en quelques mois.
Les cibles sont idéales pour les cybercriminels. Les gamers, en particulier, constituent une cible de choix puisqu’ils partagent massivement les liens vers les dépôts via YouTube, Discord ou des forums de gaming, maximisant rapidement leur visibilité.
L’écosystème open source dans le viseur
Les comptes GitHub utilisés pour diffuser ces malwares sont organisés de façon à limiter la détection : Un réel organigramme de compte est démantelé, à sa tête le fameux « ischhfd83 » donc, puis une multitude de profils qui gère moins de dix dépôts chacun, avec peu de contributeurs par projet. La diffusion s’appuie sur des canaux variés (vidéos, forums, réseaux sociaux), et les malwares installés peuvent servir à voler des identifiants, désactiver les protections, ou installer d’autres outils malveillants bien connus comme Lumma Stealer, AsyncRAT ou Remcos.
Sophos et d’autres acteurs ont signalé ces dépôts à GitHub, qui en a supprimé une grande partie, mais la campagne illustre la facilité avec laquelle des outils open source peuvent être détournés pour des opérations malveillantes, et la difficulté de protéger une communauté aussi large et diverse.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
