Enquête sur une arnaque GitHub : des milliers de « mods » et de « cracks » qui volent vos données

 (timsh.org)
1 points par GN⁺ 2025-03-01 | 1 commentaires | Partager sur WhatsApp
  • De nombreux dépôts GitHub se font passer pour des « mods » ou des « cracks », mais il s’agit en réalité d’arnaques qui, une fois téléchargées par l’utilisateur, volent des informations sensibles sur son ordinateur
  • Ils sont promus comme des « téléchargements gratuits » ou des « versions crackées » en utilisant les noms de programmes et de jeux populaires comme Roblox, Fortnite, FL Studio ou Adobe Photoshop
  • Lorsqu’on exécute ces fichiers malveillants, un malware voleur d’informations comme Redox Stealer entre en action
  • Les données volées sont envoyées vers des serveurs Discord ou des sites de partage comme Anonfiles, dans le but de dérober des portefeuilles crypto, des comptes de réseaux sociaux, etc.
  • Une simple recherche sur GitHub permet de trouver facilement ce type de dépôts, dont le volume réel est estimé à au moins un millier
  • Il arrive que des issues publiques sur GitHub les signalent comme « virus » ou « malware », mais cela ne concerne qu’environ 10 % d’entre eux, laissant de nombreux utilisateurs exposés au risque

TL;DR

  • Processus de découverte
    • L’auteur a trouvé sur un forum lié à l’ingénierie sociale un guide détaillé expliquant comment diffuser massivement des dépôts malveillants sur GitHub
    • En s’appuyant sur ce guide, il a remonté la trace jusqu’aux dépôts effectivement créés par les attaquants
  • Ampleur
    • Plus de 1 115 dépôts ont été trouvés, dont au moins 351 présentent une structure suspecte et une forte probabilité d’être malveillants
    • Moins de 10 % des dépôts font l’objet d’un avertissement via une issue, et la plupart semblent donc inoffensifs au premier abord
  • Caractéristiques du malware
    • Il semble appartenir à la famille Redox Stealer et, via des webhooks Discord, vole toutes sortes d’informations sensibles sur l’ordinateur de la victime : cookies, mots de passe, portefeuilles crypto, comptes de jeu, etc.
    • Les données sont d’abord envoyées sous forme d’archives compressées via des sites de partage (par ex. Anonfiles), puis des liens de suivi sont transmis par webhook pour analyse et revente

Some background

  • Promotion via des bots Telegram
    • L’auteur a repéré la promotion du forum dans un message d’un bot d’analyse TikTok qu’il utilisait auparavant
    • Ce forum est accessible sans invitation spéciale ni passage par Tor : il suffit de s’inscrire avec un e-mail et un mot de passe pour consulter des transactions et guides illégaux
  • Caractéristiques du forum
    • Il permet de partager librement aussi bien des ventes de comptes (par ex. TikTok, Instagram, Facebook Ads) que des ressources liées à des programmes d’« affiliate » destinés aux arnaques
    • On y trouve déjà de nombreuses arnaques connues, comme le ransomware as a service (RaaS) ou CryptoGrab, mais le guide de diffusion de malware via GitHub est nouveau et frappant
  • Redox Stealer
    • Il s’agit d’un malware diffusé notamment via Telegram, sous la forme d’un script Python relativement simple
    • Sa logique consiste à collecter en masse toutes les informations sensibles trouvables sur un PC, puis à les envoyer vers un serveur Discord

Comment inonder GitHub [de trafic] de A à Z

  • Acquisition en masse de comptes GitHub
    • Les attaquants achètent des comptes pour environ 1,5 dollar ou en créent eux-mêmes plusieurs afin de les utiliser dans leurs campagnes
  • Méthode de mise en ligne des fichiers malveillants
    • Ils les publient sur GitHub sous forme d’archives .zip, .rar, etc., ou placent dans le README des liens vers des sites de partage externes afin de contourner l’analyse antivirus
  • Modèles de README
    • Ils y ajoutent de vraies captures d’écran, des vidéos ou encore de faux résultats d’analyse VirusTotal pour inspirer confiance
    • Ils modifient légèrement le texte du README avec ChatGPT ou d’autres outils afin d’éviter la détection des doublons
  • Utilisation des tags Topics
    • Ils exploitent la fonctionnalité GitHub topic pour enregistrer à répétition des mots-clés comme des noms de jeux, crack, hack, cheat, etc.
    • Cela facilite leur exposition auprès des personnes qui recherchent des « cracks gratuits » dans les moteurs de recherche
    • Le guide explique aussi comment vérifier si un topic est banni afin de l’éviter

Analyse de Redox Stealer

  • Exécution du fichier
    • Quand l’utilisateur télécharge le dépôt puis exécute le script malveillant, la collecte d’informations sur le PC commence
    • Parmi les données visées figurent notamment l’IP, la géolocalisation, le nom d’utilisateur, les cookies de navigateur, les mots de passe, les comptes Discord, Telegram, Steam, Riot Games, ainsi que les fichiers de portefeuilles crypto
  • Méthode de collecte
    • Le malware copie temporairement les fichiers de base de données sqlite afin d’en extraire les cookies de navigateur, mots de passe, jetons Discord, etc.
    • Il archive séparément puis téléverse les fichiers d’extensions crypto comme Metamask et Exodus, ainsi que les fichiers liés aux comptes de jeu comme Steam ou Riot Games
  • Transmission des données
    • Les fichiers volés sont envoyés vers des services de partage comme Anonfiles, et leurs liens ou métadonnées sont transmis aux attaquants via des webhooks Discord
    • L’objectif final est de récupérer des comptes ayant une valeur marchande (par ex. crypto, objets de jeux) ou des informations financières (carte bancaire, PayPal, etc.)

Recherche et découverte sur GitHub

  • Estimation de l’ampleur
    • Le guide explique qu’une seule personne publiant 300 à 500 dépôts peut générer plus de 50 à 100 journaux de victimes par jour
    • En pratique, plusieurs personnes mènent probablement ce type d’opération en parallèle, ce qui implique l’existence d’un nombre bien plus important de dépôts malveillants
  • Script PoC (Proof of Concept)
    • L’auteur a combiné les mots-clés proposés dans le guide (par ex. « fortnite hack », « roblox cheat », etc.) et utilisé l’API de recherche GitHub pour crawler automatiquement les dépôts
    • Avec environ 2 100 mots-clés de topics vérifiés, il a identifié 1 155 dépôts
    • Parmi eux, 351 ont été jugés très probablement malveillants au vu du README et de la structure des fichiers .rar/.zip
  • Problèmes constatés
    • Moins de 10 % des dépôts portent une issue indiquant explicitement « ceci est malveillant », ce qui limite fortement la fonction d’alerte pour les utilisateurs
    • Beaucoup d’utilisateurs risquent de les exécuter en les prenant pour des programmes légitimes

Conclusion

  • Informations illégales en ligne
    • Il existe des forums facilement accessibles sur le web classique, sans Tor ni invitation spéciale
    • Diverses arnaques, comme les ransomwares ou les crypto drainers, y sont activement partagées
  • Simplicité de Redox Stealer
    • Avec seulement quelques centaines à quelques milliers de lignes de code Python, il collecte automatiquement un large éventail d’informations et les envoie aux attaquants
    • La barrière technique étant relativement basse, il peut être diffusé facilement à grande échelle
  • Nécessité d’une réponse de GitHub
    • Même des dépôts dont la nature malveillante a été rendue publique dans les issues restent souvent laissés en ligne
    • Une surveillance et un blocage plus actifs de la part de GitHub semblent nécessaires pour réduire les dégâts
  • Pour finir
    • Lorsqu’on cherche à télécharger des cracks de jeux ou de logiciels, il faut vérifier très attentivement s’il s’agit d’open source et si une analyse antivirus fiable a été effectuée
    • L’auteur annonce d’autres analyses à venir sur les arnaques et publicités frauduleuses

Résumé

  • Diffusion de malware via GitHub en cours : la plupart utilisent les appellations « gratuit », « crack » ou « mod », mais contiennent en réalité Redox Stealer
    • Redox Stealer est simple à utiliser et à distribuer en masse, ce qui le rend accessible à presque n’importe qui
  • Principales cibles : portefeuilles crypto, comptes Steam/Riot Games, PayPal, Facebook, Twitter et de nombreuses autres informations de compte
  • Mesures de prévention
    • Télécharger uniquement depuis des sources fiables
    • Examiner attentivement les liens suspects et les README
    • Vérifier les GitHub Issues, les étoiles et les éventuels avis d’autres utilisateurs
    • Maintenir à jour l’antivirus et les derniers correctifs de sécurité
  • Propagation du scam fondée sur les forums
    • La faible barrière à l’entrée permet à n’importe qui d’obtenir un guide puis de diffuser des scripts malveillants
    • Un seul attaquant peut acheter plusieurs comptes et publier des centaines de dépôts pour accélérer la propagation
  • Responsabilité de GitHub et de la communauté sécurité
    • Nécessité de renforcer les systèmes d’identification et de blocage des dépôts malveillants
    • Il est indispensable de sensibiliser davantage les utilisateurs
  • Tout dépôt GitHub prétendant proposer gratuitement un « crack » ou un « mod » doit être considéré comme suspect
  • Le tableur (voir le lien) contient une liste de plus de 1 000 dépôts suspects collectés par l’auteur
  • Tous ces malwares convergent vers un objectif unique, le gain financier, avec une diffusion rapide et à grande échelle

À lire aussi

1 commentaires

 
GN⁺ 2025-03-01
Avis Hacker News

  • Microsoft a un problème récurrent pour éliminer les éléments indésirables de son écosystème

    • Le portail feedback.azure.com est rempli de commentaires et de liens de spam et de malware
    • Même les équipes internes ne parviennent pas à trouver quelqu’un pour régler le problème

  • Notification des systèmes nouvellement compromis via des webhooks Discord

    • Discord réagit rapidement aux signalements d’abus
    • Il devrait être possible d’écrire un script simple pour extraire les liens de webhook et faire suspendre les comptes
    • D’après des expériences passées, Discord a été actif pour suspendre les comptes de personnes impliquées dans des activités illégales

  • Microsoft porte une part de responsabilité

    • Windows Defender déclenche l’alerte "Win32/Keygen" même lorsqu’il n’y a pas de véritable malware
    • Cela habitue les utilisateurs à désactiver leur antivirus
    • Les faux positifs finissent par faire ignorer les vrais positifs, ce qui façonne le marché

  • Question sur la raison pour laquelle il faudrait supprimer les dépôts de malware

    • Le dépôt lui-même ne cause pas de tort et a une valeur pour la recherche
    • Même si GitHub le supprime, il sera distribué par d’autres moyens
    • Une bannière du type "Attention ! Ce dépôt pourrait ne pas faire ce qu’il prétend" serait peut-être plus appropriée

  • Fait amusant : il est possible de supprimer un webhook Discord si on le découvre

    • Utiliser la commande curl -X DELETE

  • Le support de Microsoft est tragiquement mauvais

    • GitHub est rempli de tickets ouverts sans réponse depuis des années
    • Le support technique d’Azure est lui aussi très mauvais
    • On trouve en ligne de nombreuses histoires d’horreur de personnes ayant perdu l’accès à leur compte sans pouvoir le récupérer

  • Au cœur du problème, les applications ne sont pas isolées au niveau du système d’exploitation

    • Installer un mod Minecraft ne devrait pas permettre d’accéder à d’autres fichiers de l’ordinateur
    • Ouvrir une feuille de calcul dans Excel ne devrait donner accès qu’à ce fichier et aux fichiers de configuration
    • Comme sur Android, les applis devraient devoir demander explicitement l’accès aux fichiers

  • Grande question sur l’efficacité du système de signalement des abus de GitHub

    • Si plus de 1 000 dépôts malveillants peuvent rester en ligne pendant des mois, c’est peut-être que les scans automatiques sont insuffisants ou que la plateforme dépend trop des signalements des utilisateurs

  • Quelqu’un a demandé de l’aide pour installer un mod Plants vs. Zombies

    • Plusieurs mods téléchargeables ont été trouvés sur des dépôts GitHub, mais ils ne semblaient pas fiables et n’ont pas été téléchargés
    • Avec le recul, il semble que c’était le type de malware décrit par l’auteur

  • Si vous trouvez un malware dans un dépôt GitHub, vous pouvez le signaler directement via la page Abuse Report

    • GitHub supprime les dépôts qui enfreignent son Acceptable Use Policy
    • Les délais de réponse peuvent varier
    • Si le malware est activement utilisé, il peut être pertinent de le signaler à une organisation de sécurité ou à une équipe CERT