Un malware se déploie actuellement sur GitHub et touche les Mac, et sa méthode d’invasion est particulièrement vicieuse, comme le rapporte AppleInsider.
Ce sont les chercheurs de Jamf qui ont retracé cette expansion passant par les repositories ou les outils développeurs, et la méthode employée est particulièrement vicieuse et bien pensée : amener l’utilisateur à lancer des lignes de commandes piégées en les indiquant dans un fichier ReadMe.
En effet, de nombreux SDK, outils spécifiques ou utilitaires de développement s’installent en passant en partie par des lignes de commandes, et c’est sur ça que joue GhostClaw : en créant un repository au nom proche de l’original, ou en faisant remonter sa copie dans les moteurs de recherche, il récupère le sérieux de certains noms pour attirer l’utilisateur.
Mais plutôt que de proposer à sa proie un logiciel vérolé, qui serait rapidement détecté par les outils de protection en place dans macOS, il va utiliser un ReadMe détourné, qui contient des instructions menant à télécharger GhostClaw. Comme ces instructions peuvent contenir des commandes à exécuter avec les privilèges administrateur, les protections de macOS sont contournées, et l’utilisateur final, s’il n’a pas fait attention, lance une commande qui va télécharger et mettre en place GhostClaw.
Comble du bonheur pour les vilains à la tête de ces manipulations, un bon nombre de développeurs et d’utilisateurs font maintenant confiance aux intelligences artificielles pour suivre le ReadMe et les instructions d’installation d’un logiciel... ce qui abaisse encore plus la vigilance de l’utilisateur final.
Une fois installé, cet « infostealer » va ensuite récupérer moult informations sur la machine cible, comme des mots de passe de compte, des portefeuilles de cryptomonnaies, et autres informations sensibles.
Pour s’en prémunir, très peu de parades seront aussi efficaces que la vigilance face aux lignes de commandes : avant de la taper, vérifiez son innocuité... de la même manière, des changements soudains et inhabituels dans un repository peuvent mettre la puce à l’oreille. Enfin, ne pas confier l’installation d’un logiciel à une IA.
