GitHub est devenu un pilier de l’innovation, mais cette confiance est aujourd’hui ébranlée par une nouvelle forme d’attaque. Des pirates ont trouvé le moyen d’infiltrer la plateforme pour y cacher des virus qui transforment un simple copier-coller en un cheval de Troie dévastateur.
Le piège de la confiance dans l’open source
La force de GitHub est aussi sa plus grande faiblesse. Le principe de l’open source repose sur la collaboration et la confiance. N’importe qui peut proposer du code et la communauté est censée le vérifier. Mais face à la masse colossale de projets, impossible de tout auditer. Les pirates de GhostAction exploitent cette confiance. Ils créent de faux comptes ou piratent des comptes de vrais développeurs pour soumettre du code qui a l’air tout à fait inoffensif.
« GitHub Actions », le terrain de jeu des pirates
L’attaque se concentre sur une fonction très populaire de GitHub : les « GitHub Actions ». Ce sont des petits scripts qui permettent d’automatiser des tâches répétitives comme la compilation du code ou les tests. Pour se simplifier la vie, beaucoup de développeurs ne réécrivent pas ces scripts. Ils vont en chercher des prêts à l’emploi sur la marketplace de GitHub. C’est là que le piège se referme.
L’appât : un script utile qui cache un secret malveillant
Les pirates publient des GitHub Actions qui répondent à un vrai besoin. Le script fait ce qu’il promet. Et il le fait bien. Mais cachée au milieu de centaines de lignes de code légitime se trouve une charge utile malveillante.
Cette partie du code est conçue pour s’exécuter en douce en arrière-plan pendant que le script principal fait son travail. L’utilisateur, voyant que l’action a fonctionné comme prévu, n’a aucune raison de se méfier.
Le vol des « secrets » : la clé du royaume
L’objectif de GhostAction n’est pas d’installer un rançongiciel mais de voler les informations les plus précieuses d’un projet de développement : les « secrets ». Il s’agit des clés d’API, des mots de passe de bases de données, des jetons d’accès. Bref, toutes les infos sensibles qui permettent à une application de communiquer avec d’autres services. En volant ces secrets, les pirates obtiennent les clés pour accéder aux serveurs; aux bases de données. Et à l’infrastructure cloud de l’entreprise victime.
Une menace pour toute la chaîne d’approvisionnement logicielle
Cette attaque est particulièrement dangereuse car elle ne vise pas un utilisateur final mais la chaîne d’approvisionnement logicielle elle-même. En piratant le code source d’une application populaire, les pirates peuvent potentiellement infecter tous les utilisateurs de cette application.
La prudence la plus extrême est donc de mise pour les développeurs. Il est devenu indispensable de vérifier la provenance de chaque script et d’examiner attentivement son code avant de l’exécuter. La confiance aveugle dans le code partagé n’est plus une option.
