GitVenom : quand des dépôts GitHub cachent un code malveillant pour vos cryptos
La semaine dernière, nous avons été témoins du plus gros hack de l’histoire des cryptomonnaies avec 1,46 milliard de dollars dérobés à Bybit. Bien que le mode opératoire exact n’ait pas encore été découvert, il est clair que les hackers disposent d’une multitude d’approches pour dérober des cryptomonnaies. Ainsi, les équipes de Kaspersky viennent de révéler un nouveau mode opératoire.
- La semaine dernière, un hack historique a dérobé 1,46 milliard de dollars à Bybit, marquant le plus gros vol dans l’univers des cryptomonnaies.
- Kaspersky a révélé un mode opératoire inquiétant nommé GitVenom, où des dépôts GitHub contiennent du code malveillant pour voler des informations sensibles.
GitVenom : de faux dépôts GitHub pour dérober vos cryptos
L’open source est au cœur de l’ensemble des systèmes informatiques. Git, Linux ou encore WordPress, sont autant de projets open source indispensable à l’informatique mondiale. De plus petites librairies de code peuvent faire gagner des heures aux développeurs en proposant des fonctionnalités diverses et variées. Une approche qui permet de ne pas réinventer la roue et gagner de précieuses heures de développement.
Et ça, les hackers l’ont bien compris. Le 24 février, les équipes de Kaspersky ont dévoilé un nouveau mode opératoire pour dérober des cryptomonnaies. Cette méthode appelée GitVenom par les équipes de Kaspersky vise à créer des centaines de dépôts sur GitHub qui contiennent du code malveillant.
« Par exemple, un outil d’automatisation pour interagir avec des comptes Instagram, un bot Telegram permettant de gérer des portefeuilles Bitcoin, et un outil de piratage pour le jeu vidéo Valorant. »
De prime abord, ces projets semblent tout à fait légitimes. Ils disposent d’un README.md complet, expliquant le but du projet et comment l’installer. Une pratique courante, qui assoit la légitimité du projet.
Du code malveillant caché au cœur du projet
Toutefois, en épluchant le code source, les experts de Kaspersky ont découvert que ces projets n’implémentaient aucune des fonctionnalités présentées dans le README.md.
En réalité, le code réalise des actions sans intérêts avec pour objectif de cacher le cœur du programme : du code malveillant.
En effet, au sein du code, une partie malveillante va charger, déchiffrer et exécuter un script en Python sur la machine de l’utilisateur.
« Bien que codées dans des langages de programmation différents, les charges utiles malveillantes stockées dans les faux projets avaient le même objectif : télécharger d’autres composants malveillants à partir d’un dépôt GitHub contrôlé par l’attaquant et les exécuter. »
Sans surprise, le script malveillant part à la recherche d’informations de connexion, de clés privées et d’historique de navigation qui sont ensuite compressés et envoyés via Telegram au hacker.
Selon Kaspersky, certains de ces projets sont vieux de deux ans. Cela montre que la technique n’a rien de récent et que les hackers l’emploient depuis un bon moment.
« En fait, d’après notre télémétrie, des tentatives d’infection liées à GitVenom ont été observées dans le monde entier, le plus grand nombre d’entre elles se trouvant en Russie, au Brésil et en Turquie. »
Ainsi, amis développeurs, prenez garde dans les librairies que vous utilisez. Ne téléchargez pas et n’exécutez pas aveuglément du code récupéré sur internet. Il en va de même pour les « cracks » de jeux vidéo et autres logiciels de triche amis gamers.
Au début du mois, Kaspersky avait dévoilé de nombreuses applications mobiles vérolées. Le code malveillant, intégré à des applications légitimes, scanne votre mobile à la recherche de clés privées ou seed phrase pour dérober vos cryptos. Comme toujours, prudence est mère de sûreté.
Renaud H.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
