Des menaces malveillantes se profilent sur GitHub

Les dépôts publics sur cette plateforme deviennent des vecteurs pour des malwares sophistiqués. En avril 2025, des groupes cybercriminels ont exploité GitHub pour diffuser Amadey, un voleur de données, en camouflant des charges utiles dans du code partagé, échappant ainsi à la détection de la sécurité traditionnelle.

Une chaîne d’infection alimentée par des voleurs connus

L’attaque est orchestrée par Emmenhtal, également connu sous le nom de PEAKLIGHT, qui déploie Amadey, servant ensuite de vecteur pour des logiciels malveillants tels que Lumma Stealer, RedLine Stealer et Rhadamanthys Stealer. Trois comptes GitHub, Legendary99999, DFfe9ewf et Milidmdds, ont été identifiés comme ayant hébergé ces fichiers avant leur suppression.

Des scripts JavaScript extraits de ces dépôts sont en corrélation avec une campagne de phishing précédente en Ukraine, tandis que des scripts Python montrent une version avancée d’Emmenhtal dotée d’une commande PowerShell pour télécharger Amadey.

Amadey se distingue par ses plugins DLL personnalisables et ses fonctionnalité d’espionnage, telles que le vol d’identifiants et la capture d’écrans. Ce malware fait partie d’un écosystème bien organisé, composé de prestataires de malware-as-a-service. Sa capacité à déployer des ransomwares comme LockBit 3.0 souligne sa flexibilité et sa dangerosité.

Campagne SquidLoader ciblant l’Asie

Parallèlement, Trellix a mis en lumière une campagne de phishing à Hong Kong impliquant SquidLoader. Ce malware utilise des techniques anti-analyse pour échapper aux protections conventionnelles. Une fois installé, il établit une communication avec un serveur distant pour collecter des données système, injectant au passage une balise Cobalt Strike. Charles Crofford, chercheur chez Trellix, avertit :

« Ses faibles taux de détection représentent une menace importante pour les organisations. »

Les campagnes d’attaques ne se limitent pas à GitHub; elles impliquent également d’autres plateformes comme AWS, des QR codes et des kits de phishing. Certaines imitent des services tels que la sécurité sociale américaine, tandis que d’autres exploitent des fichiers SVG contenant du JavaScript obscurci pour détourner les victimes. Selon Cofense, 57 % des attaques utilisant des techniques avancées en 2024 recouraient à des QR codes.

Open source, une cible vulnérable

L’utilisation de GitHub pour le stockage de malware témoigne d’une stratégie évolutive chez les cybercriminels, qui privilégient des plateformes de confiance pour dissimuler leurs activités malveillantes. En s’appuyant sur la réputation de la plateforme, ils parviennent à contourner les protections, rendant le code collaboratif un terrain de jeu favorable pour l’injection discrète de malwares.

L’article original est accessible ici.

---

Date de publication : 2025-07-21 17:30:00

Auteur : Cédric Balcon-Hermand – Consulter sa biographie, ses projets et son travail. Cet article a été vérifié, recoupé, reformulé et enrichi selon la ligne éditoriale Artia13, sans reprise d’éléments protégés.

Application officielle :
Téléchargez Artia13 Actualité sur Google Play

Retrouvez également tous nos contenus sur artia13.city

Notre IA contre la désinformation :
Analyzer Fake News – GPT spécialisé conçu par Artia13

---

Article rédigé, reformulé et vérifié par Cédric Balcon-Hermand selon la ligne éditoriale de l’Association Artia13 : lutte contre la désinformation, respect du droit d’auteur, éthique de l’information et autonomie intellectuelle.