Sur GitHub et GitLab, des commentaires détournés pour stocker des malwares

Depuis au moins plusieurs semaines, des acteurs malveillants se servent des commentaires de GitHub pour distribuer des malwares. Un détournement des commentaires que l’on retrouve également dans GitLab depuis peu. À moins de fermer complètement les commentaires sur un dépôt, il ne semble pas y avoir de solution simple au problème.

Le moins que l’on puisse dire est que les pirates ne manquent jamais d’astuce pour conduire les internautes à effectuer des actions malveillantes. On a pu encore le voir récemment avec la vague de phishing ayant visé les clients de LastPass, à l’aide d’informations volées dans de précédentes fuites, dont celle de LastPass probablement.

L’ingéniosité ne passe pas toujours par l’ingénierie sociale. BleepingComputer s’est ainsi penché sur un drôle de phénomène : des acteurs malveillants se servent des commentaires de GitHub pour distribuer des malwares. Comment ? En détournant une fonction existante, permettant de téléverser des fichiers. Les pirates peuvent presque leur donner une allure respectable, à même de leurrer une partie des utilisateurs.

Des liens à l’apparence respectable

Sur GitHub, il est possible de joindre un fichier à un commentaire. Une fonction pratique, permettant de montrer rapidement un exemple d’une situation, une capture d’écran d’un problème, etc. Selon le type de fichier, la destination n’est pas la même. Ainsi, les images et vidéos vont dans le dossier /assets/. Les autres vont dans /files/.

Point crucial, toutes ces données sont stockées dans un dossier du dépôt, mais n’en font pas partie à proprement parler. Il s’agit d’un stockage annexe, afin que les fichiers ne soient pas mélangés avec ceux du projet.

Cependant, l’apparence du lien peut suggérer qu’il s’agit d’un fichier hébergé par le dépôt, comme le montre la capture ci-dessous, publiée par BleepingComputer :

Elle illustre parfaitement le problème : si l’on ne sait pas comment fonctionne le téléversement des fichiers dans les commentaires, il est aisé de se faire avoir. L’adresse est tout ce qu’il y a de plus officielle et contient le nom du dépôt sur lequel est laissé le commentaire. Si l’on ne connait pas ce fonctionnement, seule la méfiance ou l’utilisation d’une solution antivirale (ou au moins un passage par VirusTotal) peut sauver la machine d’une infection.

Ces liens sont générés automatiquement par GitHub. Ils restent valides même en cas de suppression ou si le commentaire n’est finalement pas publié. Le fichier téléversé pendant la préparation du commentaire reste stocké dans son dossier.

Un problème découvert en février

Ce détournement des commentaires était en fait connu depuis au moins février. Il a fait l’objet de publications, notamment sur X. On trouve par exemple une vidéo explicative de Sergei Frankoff (herrcore), qui montre le déroulé de l’opération et le danger lié. Datée du 27 mars, elle évoque un problème durant « depuis des semaines ».

Le problème a pris une toute autre ampleur à la publication d’un article de McAfee au sujet d’un nouveau malware. Apparemment lié à Redline, un célèbre malware voleur lui aussi, il en reprend l’infrastructure de contrôle. Cependant, il ne dérobe pas d’informations et présente des spécificités, dont l’utilisation de bytecode écrit en Lua pour échapper à la détection et en lui permettant de s’injecter dans des processus légitimes.

Le malware est distribué sous la forme d’un fichier Zip contenant un fichier d’installation MSI. Ce dernier décompresse alors trois fichiers : compiler.exe, lua51.dll et un fichier readme.txt contenant le bytecode Lua. Les personnes intéressées croient télécharger un moteur de triche pour les jeux vidéo. À l’ouverture, l’application affiche même un message encourageant les utilisateurs à partager le programme à leurs amis pour recevoir une copie complète gratuite.

L’archive se présentait avec des noms tels que Cheat.Lab.2.7.2.zip ou Cheater.Pro.1.6.0.zip. Or, les liens de téléchargement renvoyaient systématiquement vers une adresse du type « https://github[.]com/microsoft/vcpkg/files ». vcpkg ? Il s’agit d’un gestionnaire de bibliothèques C et C++ publié par Microsoft, open source et dont le code réside dans un dépôt GitHub.

Peu de solutions pour l’instant

C’est sur ce dépôt que les fichiers étaient hébergés, grâce au fonctionnement vu précédemment. Microsoft a fini par les supprimer, mais avec plusieurs semaines de délai. BleepingComputer, interloqué par le délai, s’est aperçu de la différence dans le stockage des fichiers : le malware n’appartenait pas au dépôt, mais à un stockage parallèle et rattaché. Il ne s’agissait donc pas de Microsoft distribuant des logiciels malveillants.

C’est l’un des problèmes soulignés par nos confrères : l’espace étant attenant et non intégré au dépôt, les personnes gérant ce dernier ne peuvent pas agir directement sur les fichiers téléversés dans les commentaires.

Pour l’instant, la seule solution est de fermer les commentaires, mais elle engendre deux problèmes. D’abord, cette fermeture ne peut être que temporaire, car GitHub permet de ne fermer les commentaires que pendant un maximum de six mois. Ensuite – et surtout – parce que les commentaires font pleinement partie de la vie d’un projet et permettent de collecter de nombreux retours et propositions.

BleepingComputer dit avoir trouvé un autre compte utilisé de cette manière, httprouter. Cependant, dans leurs discussions avec Sergei Frankoff, nos confrères ont appris l’existence d’une campagne similaire, avec un malware déguisé en Aimmy, une application de triche (aide à la visée). On y retrouvait le même logiciel malveillant en Lua, appelé SmartLoader.

Il y a deux jours, les fichiers associés n’étaient toujours pas supprimés.

Le même problème chez GitLab

La situation est à peu de choses près la même chez GitLab. La seule petite différence est que tous les fichiers sont stockés dans un dossier /uploads/, au sein d’un lien laissant penser qu’ils sont stockés dans le dépôt même. Et donc qu’il s’agit de fichiers tout à fait officiels, contrôlés par les autres membres du projet.

Pour l’instant, ni GitHub ni GitLab n’ont répondu aux sollicitations de BleepingComputer. Le sujet est cependant sérieux, car le système des commentaires, pensé comme outil de productivité, peut être détourné pour donner une légitimité apparente à des liens malveillants. La situation est d’autant plus problématique qu’il n’existe a priori pas de moyens simples de corriger le tir. Un changement dans la structure des liens rendrait ainsi tous ceux publiés inopérants et risquerait de couper l’accès à des millions de liens parfaitement légitimes.

Les risques sont importants. Nos confrères citent plusieurs exemples parlants. Un acteur malveillant pourrait ainsi se servir du dépôt de NVIDIA pour signaler une nouvelle version d’un pilote permettant de résoudre des problèmes dans des jeux. Sur le dépôt de Chromium, il pourrait mettre en avant une version de test du navigateur présentant des nouveautés attendues, des hausses de performances, etc.

L’information circulant depuis quelques jours, on peut tabler sur une baisse de la dangerosité. Mais cela vaut surtout pour les personnes arpentant les dépôts concernés. Pour les utilisateurs lambdas, il restera simple de présenter un lien vers GitHub ou GitLab comme officiel. Au moins jusqu’à ce qu’une solution officielle soit apportée.