Quand des cybercriminels abusent GitHub

Par:
fredericmazue

lun, 29/04/2019 - 16:49

GitHub est très connu en tant que dépôt de code source, mais il propose d'autres services, notamment la mise en ligne de sites web à usage personnel, ou pour présenter votre projet. Ce service s'appelle GitHub Pages.

La société de sécurité ProofPoint révèle sur son blog de ces cybercriminels ont abusé de ce service pour créer des pages de destination de leurs campagnes de phishing. En créant par un exemple une page GitHub sous le sous-domaine était app-l0gin- <<nom de banque> [.] Github [.] Io, ou encore paypal-business.github [.] io les cybercriminels pouvaient espérer récupérer des données confidentielles des clients de la banque visés.

Les pages GitHub ne fournissant pas de fonctionnalités de backoffice comme un runtime PHP, les cybercriminels créaient des redirections vers des sites malveillants, après avoir induit l'internaute en erreur, ou transmettaient vers des sites malveillants les données receuillies au moyen de JavaScript.

Pour échapper à la détection de malwares des Githib Pages, les cybercriminels obfusquaient leur code JavaScript :

Le code déobfusqué montre l'envoi en POST des données volées vers un site malvaillant :

Cet abus dure depuis mi 2017 selon Proofpoint qui souligne que GitHub a été très réactif en supprimant tous les comptes mentionnés dans le billet de la société de sécurité.

Nul doute que GitHub va continuer à faire le ménage et mettre en oeuvre des moyens pour mieux détecter les activités malveillantes sur son service GitHub Pages.