Ne croyez pas tout ce que vous voyez sur Twitter et GitHub. Il circule de fausses preuves de concept de vulnérabilités, qui représentent un stratagème astucieux pour installer des malwares sur votre appareil.
Des chercheurs de la société de cybersécurité Vulncheck ont découvert cette pratique diabolique en mai. Ils ont découvert une série de contributions sur les « zero days » dans des applications couramment utilisées telles que Whatsapp, Signal, Discord, Microsoft Exchange et Google Chrome. Vous vous doutez bien qu’ils ont corrigé l’inverse et bombardé de logiciels malveillants l’appareil de la personne qui a téléchargé le fichier.
Faux profils Twitter
Les pirates vont plus loin que la publication de fausses contributions sur GitHub. Les pirates ont également créé un compte Twitter pour une société fictive appelée High Sierra Cyber Security. Chaque « chercheur » avait également son propre profil, qui comportait souvent le nom et/ou la photo de profil d’experts en cybersécurité d’entreprises industrielles reconnues. L’image stéréotypée du hacker masqué opérant dans sa cave n’est qu’une image. Actuellement, les pirates prétendent être de « bons gens ».
Sur Twitter, ils ont diffusé les fichiers de malware sur GitHub et se sont donné une apparence légitime. Les profils sont d’ailleurs toujours actifs.
Après que Vulncheck a informé GitHub de ce qui se passait, la plate-forme open source a réagi de manière décisive et les contributions ont été immédiatement supprimées. Cependant, Vulncheck n’exclut pas que la campagne ait duré plus longtemps. On ne sait pas combien de victimes ont pu être créées de cette manière.
Faites ce que vous dites
Cet incident oblige les chercheurs en cybersécurité à faire face à la réalité. Un simple mortel ne va normalement pas consulter la preuve de concept d’un zero day pour se renseigner. L’attaque visait donc principalement les experts en sécurité qui s’intéressent au travail des autres. Lorsque les experts répètent sans cesse qu’il ne faut pas cliquer sur un lien sans réfléchir, ce conseil s’applique également à eux.