La semaine dernière, un événement historique a secoué le monde des cryptomonnaies : 1,46 milliard de dollars a été dérobé à Bybit. Bien que nous n’ayons pas encore éclairci les détails de cette attaque, il est évident que les hackers ont une variété de méthodes pour s’approprier des cryptomonnaies. Dans ce contexte, les équipes de Kaspersky ont récemment dévoilé un nouveau mode opératoire.
- La semaine dernière, un hack majeur a permis de dérober 1,46 milliard de dollars à Bybit, constituant le plus grand vol dans l’univers des cryptomonnaies.
- Kaspersky a révélé une méthode inquiétante appelée GitVenom, où des dépôts GitHub intègrent du code malveillant pour subtiliser des informations sensibles.
GitVenom : des faux dépôts GitHub pour voler vos cryptos
L’open source est fondamental dans l’écosystème informatique. Des projets comme Git, Linux ou WordPress sont essentiels au fonctionnement technologique mondial. De petites librairies de code permettent également aux développeurs de gagner un temps précieux en offrant des fonctionnalités variées, évitant ainsi de réinventer la roue.
Les hackers exploitent habilement cet écosystème. Le 24 février, les experts de Kaspersky ont révélé une nouvelle technique permettant de voler des cryptomonnaies. Baptisée GitVenom, cette méthode consiste à créer de nombreux dépôts sur GitHub contenant du code malveillant.
« Par exemple, un outil d’automatisation pour interagir avec des comptes Instagram, un bot Telegram pour gérer des portefeuilles Bitcoin, ou un outil de piratage pour le jeu vidéo Valorant. »
À première vue, ces projets semblent légitimes, accompagnés d’un README.md détaillant l’objectif du projet et les étapes d’installation, ce qui renforce leur apparente crédibilité.
Du code malveillant dissimulé au sein du projet
Cependant, en scrutant le code source, les experts de Kaspersky ont constaté que ces projets ne contenaient aucune des fonctionnalités vantées dans le README.md.
Dans les faits, le code exécute des actions futiles pour dissimuler le véritable objectif : un code malveillant.
Ce dernier va notamment charger, déchiffrer et exécuter un script en Python sur l’ordinateur de l’utilisateur.
« Bien que rédigées dans des langages de programmation différents, les charges utiles malveillantes présentes dans les faux projets avaient toutes le même but : télécharger d’autres composants malveillants depuis un dépôt GitHub contrôlé par l’attaquant et les exécuter. »
Sans surprise, le script malveillant cherche à récupérer des informations de connexion, des clés privées, et l’historique de navigation des utilisateurs, qui sont ensuite compressés et envoyés via Telegram au hacker.
D’après Kaspersky, certains de ces projets datent de deux ans, ce qui indique que cette technique n’est pas récente et est exploitée depuis un certain temps par les hackers.
« En fait, selon notre télémétrie, des tentatives d’infection liées à GitVenom ont été observées à l’échelle mondiale, le plus grand nombre étant en Russie, au Brésil et en Turquie. »
Développeurs, restez vigilants quant aux librairies que vous utilisez. Évitez de télécharger et d’exécuter aveuglément du code récupéré sur Internet. La prudence est de mise, que ce soit pour les cracks de jeux vidéo ou d’autres logiciels de triche.
Au début du mois, Kaspersky avait mis en lumière de nombreuses applications mobiles infectées. Le code malveillant, intégré dans des applications légitimes, explore votre mobile à la recherche de clés privées ou de seed phrases pour dérober vos cryptos. Comme toujours, la prudence est essentielle.
