Des commits malveillants sur GitHub : Une tentative de portes dérobées dans vos projets open source
github-backdooring-00
GitHub est encore la cible de pirates qui tentent d'injecter des backdoors via des commits et des pull requests. La dernière victime en date ? Exo Labs, une startup spécialisée dans l'IA et le machine learning. L'attaque laisse planer des doutes sur les réelles intentions des coupables.
Le backdoor déguisé en innocent pull request
Ce mardi, Alex Cheema, co-fondateur d'Exo Labs, a révélé une modification de code apparemment innocente dans le dépôt GitHub de l'entreprise. Le pull request intitulé "clarify mlx requirement for deepseek models" modifiait un fichier Python en y ajoutant une suite de nombres :
github-backdooring-01
Ces nombres représentent du code Unicode, traduisible en une requête malveillante tentant de se connecter à evildojo(.)com pour télécharger un fichier nommé "stage1" – autrement dit, une porte dérobée potentielle.
Pas de payload... ou pas encore ?
Heureusement, la modification n'a pas été validée. Mais imaginez si elle l’avait été… Chaque utilisateur d'Exo Labs aurait pu exécuter ce code à distance. Cependant, le fameux "stage1" semble inexistant, car la page retourne une erreur 404. Simple coïncidence ? Ou une tentative ratée ?
github-backdooring-02
Mais qui est derrière tout ça ?
Le coupable semble être un utilisateur de GitHub nommé evildojo666, dont le compte a depuis été supprimé. Certains éléments pointent vers Mike Bell, un chercheur en sécurité du Texas. Cependant, Bell nie toute implication et accuse un imposteur de le piéger.
Le mystère de l'imposteur
Bell soutient qu’il n'y a jamais eu de payload, et que n’importe qui peut usurper une identité sur GitHub. Un autre compte, darkimage666, semble avoir poursuivi cette tentative de sabotage. Mais qui donc en veut à Bell ? Mystère…
github-backdooring-03
Plusieurs projets visés
D'autres projets, comme yt-dlp (un populaire téléchargeur audio/vidéo open source), ont également été ciblés par des utilisateurs GitHub indonésiens. Heureusement, de nombreux commits malveillants ont été supprimés.
github-backdooring-04
Un avertissement pour les mainteneurs
Bien que ce pull request ait été détecté à temps, l'incident rappelle combien la chaîne d'approvisionnement des logiciels open source est vulnérable. Conseil : Analysez chaque pull request avec soin, même si elles viennent de contributeurs apparemment bienveillants. Les outils automatisés comme Presubmit's AI Reviewer peuvent aider, mais la vigilance humaine reste indispensable.
