Les pirates utilisent un faux code GitHub pour voler vos Bitcoin: Kaspersky

Selon un rapport de Kaspersky, le code GitHub que vous utilisez pour créer une application tendance ou corriger des bugs existants pourrait simplement être utilisé pour voler vos Bitcoin (BTC) ou d'autres avoirs Crypto .

GitHub est un outil populaire parmi les développeurs de tous types, mais encore plus parmi les projets axés sur la cryptographie, où une simple application peut générer des millions de dollars de revenus.

Le rapport met en garde les utilisateurs contre une campagne « GitVenom » active depuis au moins deux ans mais en constante augmentation, impliquant l'implantation de code malveillant dans de faux projets sur la populaire plateforme de dépôt de code.

L'attaque commence par des projets GitHub apparemment légitimes, comme la création de robots Telegram pour gérer les portefeuilles Bitcoin ou des outils pour les jeux informatiques.

Chacun d'entre eux est accompagné d'un fichier README soigné, souvent généré par l'IA, pour instaurer la confiance. Mais le code lui-même est un cheval de Troie : pour les projets basés sur Python, les attaquants cachent un script néfaste après une chaîne bizarre de 2 000 onglets, qui décrypte et exécute une charge utile malveillante.

Pour JavaScript, une fonction malveillante est intégrée dans le fichier principal, déclenchant l'attaque de lancement. Une fois activée, le malware extrait des outils supplémentaires d'un référentiel GitHub distinct contrôlé par des pirates.

(Un onglet organise le code, le rendant lisible en alignant les lignes. La charge utile est la partie CORE d'un programme qui effectue le travail réel — ou le dommage, dans le cas d'un logiciel malveillant.)

Une fois le système infecté, divers autres programmes interviennent pour exécuter l'exploit. Un voleur Node.js récupère les mots de passe, les détails du portefeuille de Crypto et l'historique de navigation, puis les regroupe et les envoie via Telegram. Les chevaux de Troie d'accès à distance comme AsyncRAT et Quasar prennent le contrôle de l'appareil de la victime, enregistrant les frappes au clavier et capturant des captures d'écran.

Un « clipper » échange également les adresses de portefeuille copiées avec celles des pirates, redirigeant ainsi les fonds. Un de ces portefeuilles a rapporté 5 BTC , soit une valeur de 485 000 dollars à l'époque, rien qu'en novembre.

Actif depuis au moins deux ans, GitVenom a frappé plus durement les utilisateurs en Russie, au Brésil et en Turquie, bien que sa portée soit mondiale, selon Kaspersky.

Les attaquants le KEEP furtif en imitant le développement actif et en variant leurs tactiques de codage pour échapper aux logiciels antivirus.

Comment les utilisateurs peuvent-ils se protéger ? En examinant minutieusement tout code avant de l’exécuter, en vérifiant l’authenticité du projet et en se méfiant des fichiers README trop peaufinés ou des historiques de validation incohérents.

Car les chercheurs ne s'attendent T à ce que ces attaques s'arrêtent de sitôt : « Nous nous attendons à ce que ces tentatives se poursuivent à l'avenir, éventuellement avec de petits changements dans les TTP », conclut Kaspersky dans son article.