{"id":22611,"date":"2025-02-28T16:53:40","date_gmt":"2025-02-28T14:53:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22611"},"modified":"2025-02-28T16:53:40","modified_gmt":"2025-02-28T14:53:40","slug":"malicious-code-in-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/malicious-code-in-github\/22611\/","title":{"rendered":"Code malveillant sur GitHub : comment les pirates informatiques ciblent les programmeurs"},"content":{"rendered":"

Pouvez-vous imaginer un monde o\u00f9, chaque fois que vous souhaitez vous rendre quelque part, vous devez r\u00e9inventer la roue et construire un v\u00e9lo \u00e0 partir de z\u00e9ro\u00a0? Nous ne le pouvons pas non plus. Pourquoi r\u00e9inventer quelque chose qui existe d\u00e9j\u00e0 et qui fonctionne \u00e0 merveille\u00a0? La m\u00eame logique s\u2019applique \u00e0 la programmation\u00a0: les d\u00e9veloppeurs sont confront\u00e9s chaque jour \u00e0 des t\u00e2ches routini\u00e8res et, au lieu d\u2019inventer leurs propres roues et v\u00e9los (qui pourraient m\u00eame ne pas \u00eatre au point), ils se contentent de r\u00e9cup\u00e9rer des codes v\u00e9los<\/span> pr\u00eats \u00e0 l\u2019emploi dans les r\u00e9f\u00e9rentiels open source de GitHub.<\/p>\n

Cette solution est accessible \u00e0 tous, y compris aux criminels qui utilisent le meilleur code source libre du monde<\/em> comme app\u00e2t pour leurs attaques. Les preuves ne manquent pas, et voici la derni\u00e8re en date\u00a0: nos experts ont d\u00e9couvert une campagne malveillante active, GitVenom, ciblant les utilisateurs de GitHub.<\/p>\n

Qu\u2019est-ce que GitVenom\u00a0?<\/strong><\/h2>\n

GitVenom, c\u2019est ainsi que nous avons nomm\u00e9 cette campagne malveillante, dans laquelle des acteurs inconnus ont cr\u00e9\u00e9 plus de 200\u00a0r\u00e9f\u00e9rentiels contenant de faux projets avec du code malveillant\u00a0: des bots Telegram, des outils pour pirater le jeu Valorant, des utilitaires d\u2019automatisation d\u2019Instagram et des gestionnaires de portefeuilles Bitcoin. \u00c0 premi\u00e8re vue, tous les r\u00e9f\u00e9rentiels semblent authentiques. Il est \u00e0 noter que le fichier README.MD, un guide sur la fa\u00e7on d\u2019utiliser le code, est tr\u00e8s bien con\u00e7u et contient des instructions d\u00e9taill\u00e9es en plusieurs langues. En plus de cela, les pirates ajoutent souvent plusieurs balises \u00e0 leurs r\u00e9f\u00e9rentiels.<\/p>\n

\"Ils<\/a>

Ils utilisent l\u2019IA pour r\u00e9diger des instructions d\u00e9taill\u00e9es dans plusieurs langues<\/p><\/div>\n

Un autre facteur renfor\u00e7ant la l\u00e9gitimit\u00e9 apparente de ces r\u00e9f\u00e9rentiels est le grand nombre de commits. Les r\u00e9f\u00e9rentiels des attaquants en contiennent des dizaines de milliers. Bien entendu, les auteurs des attaques ne mettaient pas \u00e0 jour manuellement chacun des 200\u00a0r\u00e9f\u00e9rentiels pour en pr\u00e9server l\u2019authenticit\u00e9, mais utilisaient simplement des fichiers d\u2019horodatage mis \u00e0 jour toutes les quelques minutes. La combinaison d\u2019une documentation d\u00e9taill\u00e9e et de nombreuses validations cr\u00e9e l\u2019illusion que le code est authentique et peut \u00eatre utilis\u00e9 en toute s\u00e9curit\u00e9.<\/p>\n

GitVenom\u00a0: deux ann\u00e9es d\u2019activit\u00e9<\/strong><\/h2>\n

La campagne a commenc\u00e9 il y a longtemps\u00a0: le plus ancien faux r\u00e9f\u00e9rentiel que nous ayons trouv\u00e9 date d\u2019il y a environ deux ans. Entre-temps, GitVenom a touch\u00e9 des d\u00e9veloppeurs en Russie, au Br\u00e9sil, en Turquie et dans d\u2019autres pays. Les pirates informatiques ont exploit\u00e9 un large \u00e9ventail de langages de programmation\u00a0: du code malveillant a \u00e9t\u00e9 trouv\u00e9 dans des r\u00e9f\u00e9rentiels Python, JavaScript, C, C# et C++.<\/p>\n

En ce qui concerne la fonctionnalit\u00e9 de ces projets, les caract\u00e9ristiques d\u00e9crites dans le fichier README ne correspondent m\u00eame pas au code r\u00e9el. En r\u00e9alit\u00e9, le code ne fait pas la moiti\u00e9 de ce qu\u2019il pr\u00e9tend. Mais \u00ab\u00a0gr\u00e2ce\u00a0\u00bb \u00e0 lui, les victimes finissent par t\u00e9l\u00e9charger des composants malveillants. Les voici :<\/p>\n