On croyait GitHub invincible, un bac à sable géant pour devs où le code fuse librement, les forks prolifèrent sans arrière-pensées géopolitiques. Inviolable, hein ? Que nenni. Les hackers liés à la Corée du Nord, le sulfureux groupe Kimsuky, ont tout renversé : ils abusent de GitHub comme infrastructure de commandement et contrôle pour s’infiltrer chez des organisations sud-coréennes. Loin d’une farce de script kiddies, c’est un siège en plusieurs étapes qui mixe phishing et tactiques “living off the land”, rendant toute détection infernale.
On s’attendait à de l’espionnage basique : mails ciblés, peut-être un RAT largué. Mais là ? Du génie architectural (ou de la pure scélératesse, selon le camp). En hijackant des dépôts publics comme motoralis ou God0808RAMA, les assaillants exfiltrent des données et récupèrent des ordres sans alerter les antivirus. Ça change la donne : les plateformes de confiance ne sont plus des sanctuaires, mais des chevaux de Troie potentiels.
L’appât de phishing qu’on n’a pas vu venir
Ça commence innocemment. Un mail atterrit — urgent, teinté d’affaires coréennes. Dedans ? Un raccourci Windows obfuscé, un fichier LNK déguisé en PDF. Cliquez dessus (qui résiste ?), et paf : un faux document légit s’affiche, pendant que PowerShell s’infiltre en douce.
Ce script ? Impitoyable. D’abord, il flaire les sandboxes, débogueurs, outils forensics — VM en vue ? Débogueur ? Il disparaît. Nickel ? Il décompresse un VBScript, se planifie toutes les 30 minutes (fenêtre cachée, bien sûr), et fouille l’info : détails de l’hôte, logs, tout y passe. Puis exfil vers ces dépôts GitHub, avec des tokens codés en dur qui plus est.
Et le clou : les mêmes dépôts servent les modules, les commandes. Boucle C2 complète, aux frais de GitHub.
« Les acteurs de menaces délaissent les malwares custom complexes pour miser sur les outils natifs Windows en déploiement, évasion et persistance. En minimisant les fichiers PE et en s’appuyant massivement sur les LOLBins, les attaquants touchent un large public avec des taux de détection bien plus bas. »
— Cara Lin, chercheuse sécurité chez Fortinet
Parfaitement vu, Cara. Mais sans le vernis comm’ : voilà Kimsuky qui mute, largue Xeno RAT pour des ops plus légères. Avant ? Ils balançaient MoonPeak via GitHub aussi — ENKI et Trellix l’avaient repéré. Aujourd’hui, AhnLab détecte une variante backdoor Python, relais Dropbox, ZIPs de quickcon.store. Même ADN.
Pourquoi GitHub ? Parce qu’il inspire une confiance aveugle
GitHub, couverture idéale : 100 millions d’utilisateurs, dépôts infinis, commits noyés dans le bruit. À quoi bon bricoler des serveurs C2 louches quand on peut squatter l’empire Microsoft ? Détection minimale, OK. Mais plus profond : c’est psychologique. Les devs lui font confiance ; les équipes sécu le whitelist. Exploitez ça, et c’est gagné.
ScarCruft, une autre bande DPRK, fait pareil avec des droppers HWP pour RokRAT. Le schéma ? Les acteurs étatiques virent les malwares sur mesure au profit des LOLBins — PowerShell, schtasks, certutil. Outils natifs = confiance native.
Mon avis perso ? Ça rappelle les espions radio de la Guerre froide — diffusion à ciel ouvert sur fréquences publiques, mais codes réservés aux initiés. GitHub, la TSF moderne : ouvert, mondial, ignoré. Prono audacieux : Microsoft/GitHub déploie des scanners IA pour dépôts d’ici fin d’année, mais ça va gripper les workflows OSS légitimes et déclencher une bronca.
Coup de poing en para court : Masterclass d’évasion.
Maintenant, démontons la chaîne. LNK → PS silencieux → anti-analyse → persistance via schtasks → grab de données → dump/fetch GitHub. Dépôts nommés ? motoralis, Pigresy80, brandonleeodd93-blip. À la chasse.
Mais attendez — le twist d’AhnLab : dossier caché C:\windirr, drops leurres, pont Dropbox vers RAT Python. Commandes ? Execs shell, listings dir, ops fichiers, BAT/VBS/EXE lancés. Bête versatile.
Comment ça passe au travers des défenses ?
Les LOLBins, voilà le secret. “Livin
