Des malwares régulièrement trouvés sur Github

[laliche]

GitHub, la célèbre plate-forme d'hébergement de dépôts en développement est régulièrement utilisée pour héberger et propager des malwares, que ce soit à des fins de recherche en cybersécurité (dépôts légitimes) ou dans le cadre de campagnes d'attaques malveillantes (dépôts compromis ou créés spécialement). Voici un état des lieux des principales menaces identifiées récemment.

Campagnes récentes de malwares sur GitHub (2025-2026)

1. Megalodon : malware CI/CD via faux commits automatisés (mai 2026)

Une nouvelle campagne appelée Megalodon a infecté plus de 5 000 dépôts GitHub en injectant de faux commits automatisés dans les pipelines CI/CD.

Une fois fusionnés, ces commits exécutent un code malveillant qui vole des identifiants cloud (AWS, GitHub, Slack, etc.). L'attaque utilise des fichiers YAML piégés et se propage automatiquement.

2. TroyDen's Lure Factory : usine à malwares pilotée par l'IA (mars 2026)

Plus de 300 packages malveillants ont été découverts sur GitHub dans le cadre d'une campagne nommée TroyDen's Lure Factory.
Ces dépôts, présentés comme des outils légitimes (ex. : déploiement Docker), contiennent en réalité un malware dormeur capable de géolocaliser et photographier les victimes à leur insu. L'attaque repose sur deux fichiers inoffensifs séparément, mais dangereux combinés.

3. Épidémie de vers Miasma (juin 2026)

Une variante du ver Miasma, un infostealer, a compromis 73 dépôts GitHub, obligeant la plateforme à les mettre hors ligne en urgence.
Ce ver s'exécute dans des environnements de développement ou des plateformes de codage assisté par IA. Il serait lié au groupe TeamPCP, déjà responsable d'attaques similaires sur Azure et d'autres plateformes open source.

4. GitVenom : faux projets générés par IA (février 2025)

La campagne GitVenom a créé plus de 200 dépôts frauduleux imitant des projets légitimes (bots Telegram, outils de piratage de jeux, gestionnaires de portefeuilles Bitcoin).
Ces dépôts utilisent des README multilingues générés par IA pour gagner en crédibilité et tromper les développeurs.

5. Réseau de 3 000 comptes fantômes (juillet 2024)

Un réseau clandestin de 3 000 comptes "fantômes" a été identifié en train de promouvoir des dépôts malveillants via des étoiles et des forks automatisés.
Ces dépôts proposaient des outils gratuits (VPN, licences logicielles) contenant en réalité des ransomwares ou des voleurs de données.

Failles de sécurité exploitées

Une vulnérabilité dans les commentaires GitHub permet à des attaquants de générer des liens de téléchargement trompeurs qui semblent provenir de sources fiables (ex.: Microsoft, NVIDIA). Même si le commentaire n'est jamais publié, le lien reste actif et peut être utilisé pour diffuser des malwares.

Dépôts de malwares à but éducatif:

Certains dépôts GitHub hébergent des échantillons de malwares réels à des fins de recherche et d'analyse :

theZoo : collection de malwares "live" pour analyse.

MalwareSourceCode (vxunderground) : codes sources de malwares variés.

MalwareDatabase (Endermanch) : collection avec avertissements stricts contre l'exécution sur du matériel réel.

Ces dépôts sont légitimes mais dangereux s'ils sont mal utilisés.

Recommandations de sécurité :

Ne jamais exécuter de code inconnu provenant de GitHub sans analyse préalable.

Vérifier l'authenticité des dépôts (auteur, historique, activité).

Surveiller les fichiers YAML dans les pipelines CI/CD.

Utiliser des outils de sécurité capables de détecter les comportements suspects (obfuscation, connexions sortantes, etc.).

Signaler tout dépôt suspect à GitHub.