Une faille de sécurité majeure affecte GitHub, permettant aux pirates de propager des logiciels malveillants en se faisant passer pour des sources légitimes. Des liens de téléchargement trompeurs sont générés automatiquement à partir de fichiers uploadés dans les commentaires, induisant les utilisateurs en erreur. Soyez vigilants et vérifiez toujours la provenance des fichiers avant de les télécharger.
Des chercheurs en sécurité ont découvert une faille critique dans le système de téléchargement de fichiers par commentaire de GitHub. Des acteurs malveillants l’exploitent pour propager des logiciels malveillants.
Attention aux faux fichiers sur GitHub : Microsoft peut même être usurpé
Lorsqu’un utilisateur upload un fichier dans un commentaire GitHub (même si le commentaire n’est jamais publié), un lien de téléchargement est automatiquement généré. Ce lien inclut le nom du dépôt et de son propriétaire, ce qui peut tromper les victimes en leur faisant croire que le fichier est légitime car associé à une source fiable.
Par exemple, des pirates informatiques pourraient héberger un malware sur un dépôt aléatoire, et le lien de téléchargement semblerait provenir d’un développeur ou d’une entreprise renommée comme Microsoft. Les URL d’installation du malware suggèrent une appartenance à Microsoft, alors qu’aucune référence n’existe dans le code source du projet.
Pas besoin d’être un expert : cette vulnérabilité ne requiert aucune compétence technique particulière. Il suffit de téléverser un fichier malveillant dans un commentaire pour lancer l’attaque. On se souvient tous de l’exemple avec ce malware qui se faisait passer pour WinRAR.
Par exemple, un pirate pourrait héberger un exécutable malveillant dans le dépôt d’installation de pilotes NVIDIA et le faire passer pour un nouveau pilote corrigeant des bugs dans un jeu populaire. De la même manière, un fichier malveillant pourrait être uploadé dans un commentaire du code source de Google Chrome et se présenter comme une version test inédite du navigateur.
Ces URL sembleraient appartenir aux dépôts officiels des entreprises, renforçant ainsi leur aspect légitime. Actuellement, il n’existe aucun moyen pour les développeurs d’empêcher cette utilisation abusive, à part désactiver complètement les commentaires, ce qui entraverait la collaboration sur les projets.
Bien que GitHub ait supprimé certaines campagnes de logiciels malveillants signalées, la faille de sécurité sous-jacente n’est toujours pas corrigée. On ignore si et quand un correctif sera implémenté. Si vous n’avez pas assez confiance en Windows Defender, pensez à vous équiper d’un anti-malware.