Logiciels malveillants

GitHub serait un vivier de logiciels malveillants paradant comme des preuves d’existence d’exploits

Des chercheurs de l’Institut Leiden pour l’Informatique Avancée (Pays-Bas) ont découvert que des milliers de dépôts de code dans GitHub, offrent de fausses preuves d’existence de code d’exploitations de vulnérabilités informatiques. A la place, on trouverait parfois des logiciels malveillants…

D’après leur article technique, on aurait 10,3 % de chance de tomber sur un logiciel malveillant plutôt qu’une preuve d’existence.

Leur analyse porte sur plus de 47 300 dépôts de code présentés comme des codes d’exploitations pour des vulnérabilités divulguées entre 2017 et 2021.

Elle se base sur trois analyses : appartenance des adresses IP des éditeurs à des listes noires, contrôle de VirusTotal sur les fichiers exécutables, et décodage hexadécimal et Base64 pour détecter des tentatives d’obfuscation de logiciels malveillants.

En examinant en profondeur certains cas, les chercheurs ont découvert pléthore de logiciels malveillants et de scripts dangereux, de chevaux de Troie d’accès à distance à Cobalt Strike, l’outil préféré des cybercriminels comme des groupes de menaces persistantes avancées.

Les chercheurs recommandent aux testeurs de suivre trois étapes afin de minimiser les risques d’infection :

  • Lire le code source avec diligence avant de l’exécuter sur le réseau de son client ;
  • Si le code est trop obscur, ou s’il nécessite trop de temps d’analyse manuelle, ne le lancer que dans un bac à sable, comme une machine virtuelle isolée, et vérifier le réseau pour tout traffic suspect ;
  • Tirer parti des logiciels en code source ouvert tels que VirusTotal pour analyser les fichiers binaires.