Elastic Security Labs a récemment découvert une nouvelle famille de malwares baptisée SHELBY, qui cible les dépôts GitHub. Composée de SHELBYLOADER et SHELBC2, cette menace utilise des tokens d’accès personnels pour s’infiltrer discrètement dans des environnements sensibles. Une campagne de phishing a permis de déployer un agent de Command and Control (C2). Selon les experts, ce malware est encore en développement, ce qui laisse craindre une évolution de ses capacités.
Une campagne de phishing bien rodée pour introduire SHELBY
C’est une découverte qui inquiète les chercheurs en cybersécurité. Elastic Security Labs a mis en lumière une campagne sophistiquée qui cible une entreprise de télécommunications en Irak. Pour cela, les malwares SHELBYLOADER et SHELBC2 ont été utilisés pour infiltrer les systèmes informatiques. À l’origine de cette opération, une campagne de phishing qui a permis l’installation d’un agent de Command and Control (C2). Le stratagème repose sur un double niveau d’ingéniosité : l’usage d’un environnement GitHub comme vecteur de commande, et une série de techniques d’obscurcissement qui permettent d’éviter les systèmes de détection classiques.
Plus que de simples outils malveillants, ces malwares s’illustrent par leur capacité à se fondre dans les usages légitimes. C’est ce que souligne Elastic ! Les commits sur GitHub sont souvent perçus comme anodins. Pourtant, ils deviennent ici des moyens de communication dissimulés entre les pirates et leurs malwares. Une ruse d’autant plus redoutable qu’elle s’appuie sur des services courants dans l’écosystème DevOps.
L’usage détourné des tokens d’accès personnels inquiète
Le point le plus préoccupant reste l’utilisation des tokens d’accès personnels (PAT) pour s’authentifier auprès de dépôts privés GitHub, sans passer par les chaînes Git standard. Cela permet au malware de s’intégrer discrètement dans le système de l’entreprise ciblée et d’échapper aux contrôles habituels. Quiconque possède le malware et un token associé peut donc compromettre une machine infectée. Un constat qui pose la question du rôle critique des bonnes pratiques en matière de gestion d’identifiants puisque les frontières entre usage légitime et activité malveillante deviennent floues.
La méthode est perverse : elle ne se contente pas d’infiltrer, elle transforme GitHub en infrastructure opérationnelle pour l’attaquant, sans avoir à créer de serveur de commande externe. Une approche qui pourrait séduire d’autres groupes malveillants dans le futur.
Un malware aux relents d’espionnage géopolitique
Derrière cette cyberattaque, les chercheurs perçoivent des motivations bien plus larges. SHELBY ne semble pas conçu pour une simple activité criminelle. Elastic évoque une campagne d’espionnage, potentiellement liée à des intérêts en Syrie. Cette dimension géopolitique, bien que difficile à attribuer avec certitude, donne un poids particulier à cette découverte.
Le nom du malware, SHELBY, fait référence aux pseudonymes GitHub utilisés pour héberger les composants malveillants : arthurshellby et johnshelllby, allusion assumée à la série Peaky Blinders. Si les comptes ont depuis été fermés, leur trace permet de mieux comprendre la structuration de l’attaque. SHELBY n’est d’ailleurs pas un produit fini ! Selon les experts, il est toujours en développement, ce qui laisse présager de futures variantes plus avancées. Les équipes de sécurité sont désormais prévenues. GitHub n’est plus seulement un espace de collaboration, il peut aussi devenir une arme silencieuse au service d’opérations d’infiltration avancées.
Article basé sur un communiqué de presse reçu par la rédaction.
