Depuis quelques temps, une grosse tendance semble se dessiner dans l’informatique en général, mais encore plus côté Mac : plutôt que de tenter de trouver des failles dans les systèmes d’exploitation, de mieux en mieux protégés, les hackers s’attaquent au nouveau maillon faible, le développeur.
Récemment, il a fallu faire face à GhostClaw, qui modifie insidieusement les fichiers ReadMe sur GitHub, mais aussi à la multiplication de fausses apps sur ce même site concentrant les créateurs de logiciels libres (ou non). Deux nouveaux malwares sont aujourd’hui rajoutés à la liste, avec Phoenix Worm et ShadeStager, comme rapporté par AppleInsider.
Phoenix Worm : le pied dans la porte
Le premier de ces nouveaux arrivants est un « stager » : c’est une boîte à outil permettant de créer des programmes infiltrés discrets. Une fois installé, il va établir une connexion avec un serveur distant, ouvrant ainsi une voie royale pour que le malandrin installe tous les outils qu’il souhaite sur la machine distante, allant des keyloggers aux contrôles transformant le Mac en zombie d’attaque DDoS. Supportant le chiffrement des communications et l’exécution de commandes à distance en plus de ces téléchargements, son but est d’investir rapidement tous les recoins de la machine sans avoir à refaire le boulot à chaque fois.
Afin d’éviter d’être repéré, le malware surveille l’existence de sandboxes ou de modules hypervisor, esquivant ainsi le piège facile de se retrouver sous la « loupe » d’un chercheur en sécurité.
ShadeStager : un malware spécialisé dans le vol de données de développeur
Une fois la porte grande ouverte, le second outil du jour peut entrer en scène : ShadeStager. Son rôle est de cibler très précisément tout ce qui peut être clés SSH, couples login/mot de passe d’accès à AWS, Azure, Google Cloud, Kubernetes, GitHub et bien d’autres outils développeur.
GhostClaw, un malware qui exploite notre confiance dans les fichiers ReadMe
Ne s’arrêtant pas en si bon chemin, il transmet aussi à son propriétaire les profils de navigateur, tous les logins qu’il pourra glaner y compris ceux des sessions, permettant si installé sur une machine de développeur l’accès à des infrastructures réseau et cloud, des répertoires de code source, mais aussi des machines de production. Plutôt malin, il peut être configuré au moment de l’exécution plutôt que d’avoir un comportement pré-programmé, le rendant plus complexe à détecter et à bloquer, n’ayant pas une signature reconnaissable.
Ces deux nouveaux outils sont tous les deux écrits en Go, permettant une réécriture rapide au besoin, et rendant les malwares multi-plateformes. Ils touchent ainsi macOS, mais aussi Windows ou même Linux. Typiquement tapis dans des logiciels modifiés et postés sur GitHub en mimant des programmes « normaux », ils passent ainsi les protections de macOS, l’utilisateur entrant volontiers son mot de passe administrateur pour l’installation d’un logiciel qu’il croit sérieux.
Malware : comment repérer et éviter les fausses apps Mac sur GitHub
Plus que jamais, il faut vérifier encore et toujours la provenance d’un logiciel avant de l’installer, et ne se fier qu’aux sources fiables. Les développeurs auront tout intérêt à procéder régulièrement à un audit des accès aux mots de passe et autres clés d’accès aux sessions, serveurs et autres repositories.
