Les cybercriminels utilisent désormais GitHub lui-même comme une arme. Ils créent de faux référentiels qui promettent un code de preuve de concept fonctionnel pour des failles de sécurité très médiatisées. Au lieu de cela, ils proposent une méchante porte dérobée appelée WebRAT.
Ce n'est pas le premier rodéo de WebRAT. Le programme malveillant est apparu pour la première fois au début de l'année et s'est propagé via des outils piratés ainsi que des astuces de jeu pour Counter Strike, Roblox et même Rust. Mais les opérateurs ont simplement amélioré leur jeu. Ils s’adressent désormais à un public beaucoup plus technique avec un mode de diffusion savamment déguisé.
Exploiter les chasseurs d'exploits
Depuis au moins septembre, les auteurs de menaces créent des référentiels GitHub raffinés. Ces dépôts prétendent fournir des exploits fonctionnels pour plusieurs vulnérabilités qui ont fait la une des journaux. Les chercheurs en sécurité de Kaspersky ont découvert 15 référentiels poussant WebRAT de cette façon.
Un ensemble de faux exploits a mis en évidence plusieurs vulnérabilités de sécurité importantes. Le premier était CVE-2025-59295, qui prétend être un débordement de tampon basé sur le tas dans MSHTML et Internet Explorer sur les systèmes d'exploitation Windows ; Le résultat final apparent de cet « exploit » est qu'en envoyant des paquets réseau spécialement conçus, un attaquant peut exécuter à distance du code arbitraire sur un hôte cible.
Le second était CVE-2025-10294, présenté comme un contournement d’authentification critique affectant WordPress sans connexion par mot de passe. Prétendre pouvoir donner à un attaquant la possibilité de se connecter en tant qu'utilisateur, y compris les administrateurs, sans aucune authentification.
Enfin, la troisième fausse publicité était CVE-2025-59230 — une vulnérabilité de niveau supérieur de privilège dans le gestionnaire de connexion d'accès à distance (RACM) de Microsoft. La faiblesse évidente de RACM permettrait aux attaquants locaux d’augmenter leurs privilèges d’accès au niveau SYSTÈME.
Chaque référentiel semblait légitime. Ils ont fourni des informations détaillées sur la vulnérabilité, expliqué ce que fait l'exploit présumé et ont même répertorié les mesures d'atténuation disponibles. Les chercheurs de Kaspersky pensent que tout ce texte a été généré à l'aide de modèles d'intelligence artificielle. La structure et la présentation étaient suffisamment professionnelles pour tromper les développeurs expérimentés.
Ce que fait réellement WebRAT
D'après une étude solaireRapport 4RAYSà partir de mai, WebRAT est une porte dérobée dotée de capacités étendues de vol d'informations. Il recherche les informations d'identification des comptes Steam, Discord et Telegram. Qui plus est ! Il cible les données des portefeuilles contenant des actifs virtuels, ce qui est très précieux pour les mauvais acteurs.
Cependant, le programme malveillant ne détourne pas seulement les informations stockées. Il interroge les victimes via des webcams et prend même des captures d'écran de tout ce qu'elles font.
Les faux exploits arrivent sous forme de fichiers ZIP protégés par mot de passe. À l’intérieur, les victimes trouvent un fichier vide avec le mot de passe comme nom de fichier, une DLL leurre corrompue, un fichier batch pour la chaîne d’exécution et le compte-gouttes principal appelé rasmanesc.exe.
Une fois exécuté, le compte-gouttes se met immédiatement au travail. Il élève ses privilèges sur le système et désactive Windows Defender pour éviter toute détection. Se défendre contre les logiciels malveillants qui cherchent activement à désactiver la sécurité nécessite une solution de sécurité solide et résiliente. Ensuite, il télécharge et exécute la charge utile complète de WebRAT à partir d'une URL codée en dur.
WebRAT dispose de nombreuses tactiques de persistance pour s'assurer qu'il surmonte les redémarrages du système. Il modifie les entrées du registre Windows, utilise le Planificateur de tâches et se déploie dans des répertoires système aléatoires. Cela rend l’élimination difficile pour les victimes infectées.
Kasperskynote que le WebRAT de cette campagnela variante correspond aux échantillons précédemment documentés. "Les capacités opérationnelles restent cohérentes avec les rapports précédents", ont expliqué les chercheurs. Le malware conserve les mêmes fonctions de vol d’informations d’identification, d’espionnage par webcam et de capture d’écran.
Utiliser de faux exploits sur GitHub pour propager des logiciels malveillants n’est pas vraiment nouveau. Les chercheurs en sécurité ont largement documenté cette tactique dans le passé. Récemment, des acteurs malveillants ont fait la promotion d'un faux exploit « LDAPNightmare » sur GitHub afin de propager des logiciels malveillants voleurs d'informations par des méthodes similaires.
Cet incident fait partie d’un schéma plus large d’attaquants militarisant l’écosystème de GitHub, comme le montre une campagne distincte au cours de laquelle des pirates ont piraté plusieurs organisations encompromettre les applications OAuth légitimessur la plateforme.
Kaspersky a identifié les référentiels malveillants sur GitHub et en a compilé une liste ; cependant, on s'attend à ce que les acteurs malveillants continuent de tenter d'inciter les utilisateurs à télécharger leurs logiciels malveillants en créant et en soumettant de nouveaux référentiels sous des noms d'éditeur différents. Avec pratiquement aucune barrière à l’entrée, il est facile pour des acteurs malveillants de soumettre de nouveaux référentiels qui semblent légitimes aux utilisateurs sans méfiance.
À titre de bonne pratique, lors du test de code ou d'exploits provenant de sources potentiellement non fiables, Kaspersky recommande aux développeurs et aux professionnels de la sécurité de les exécuter dans un environnement contrôlé et de s'assurer qu'ils sont capables de contrôler l'environnement dans lequel le code d'exploitation s'exécute.