Les chercheurs ont remarqué que la charge utile de ces logiciels malveillants est délivrée en fonction de l’origine de la victime. Lors de la récente campagne, les pirates ont utilisé un gros fichier exécutable qui partage des similitudes avec le malware « Keyzetsu clipper », connu pour cibler les portefeuilles cryptographiques. Le 3 avril 2024, l’attaquant a mis à jour le code dans l’un de ses référentiels en créant un lien vers une nouvelle URL qui télécharge un autre fichier crypté « .7z ». L’archive contenait un exécutable nommé feedbackAPI.exe.
Pour augmenter artificiellement la taille du fichier et dépasser la limite de diverses solutions de sécurité, dont VirusTotal, les pirates ont complété l’exécutable avec de nombreux zéros, rendant impossible l’analyse. Le malware maintient la persistance en créant une tâche planifiée qui lance l’exécutable tous les jours à 4 heures du matin sans confirmation de l’utilisateur. Cette utilisation de référentiels GitHub malveillants pour diffuser des malwares est un véritable fléau pour l’écosystème open Source.
Il semble désormais que la simple vérification des vulnérabilités connues ne suffise plus, et qu’une révision régulière du code soit nécessaire pour verrouiller définitivement les plateformes open Source, qui ne sont, on le sait, pas forcément les plus sécurisées.
