Plus de 200 dépôts GitHub hébergent des malwares, dont des chevaux de Troie d'accès à distance
La société de sécurité Socket a révélé une campagne de malwares à grande échelle, baptisée 'Muck and Load', utilisant plus de 200 dépôts GitHub pour distribuer divers logiciels malveillants, y compris des RAT et des mineurs de cryptomonnaies.

Des chercheurs en sécurité ont découvert une campagne de malwares d'envergure, portant le nom de code "Muck and Load", qui a distribué activement des logiciels malveillants via plus de 200 dépôts de code sur GitHub. Lancée début 2026, la campagne utilise un module Go déguisé en outil d'analyse DNS et de sous-domaines pour déployer divers malwares Windows, tels que des chevaux de Troie d'accès à distance (RAT), des voleurs d'informations et des mineurs de cryptomonnaies.
Un module Go malveillant identifié, initialement présenté comme un projet open-source légitime nommé "dnsub-scanning-tool", a montré une historique de versions inhabituellement rapide. Le module a publié plus de 1 200 versions en quelques mois seulement, dont plus de 700 ont été identifiées comme malveillantes. Les attaquants auraient manipulé les flux de travail GitHub Actions pour gonfler artificiellement le nombre de versions, créant une fausse impression de développement légitime.
Les malwares emploient une méthode de distribution sophistiquée. Après exécution, ils téléchargent un fichier encodé et utilisent l'outil intégré certutil de Windows pour le décoder en script PowerShell. Ce script utilise ensuite une technique de "Dead Drop Resolver" pour récupérer l'emplacement réel de la charge utile à partir de diverses plateformes publiques comme Pastebin, Lum, Telegram et Google Docs. Cette approche permet aux attaquants de changer rapidement les URL des charges utiles sans modifier le vecteur d'infection initial.
L'enquête de Socket a lié cette campagne à une opération de backdoor GitHub précédemment divulguée par Sophos en juin 2025, qui partageait des indicateurs similaires, y compris une adresse e-mail et des noms de domaine spécifiques. Bien que GitHub et l'équipe de sécurité Go n'aient pas fait de déclarations officielles, les modules malveillants ont été bloqués du proxy de modules Go. Il est conseillé aux développeurs de faire preuve de prudence avec les paquets suspects, en particulier ceux qui prétendent offrir des outils de cryptomonnaie ou des triches de jeux.