Du code au chaos : comment les hackers transforment GitHub et GitLab en tremplins pour la cybercriminalité

Lorsque les meilleurs développeurs du monde collaborent sur GitHub et GitLab, peu imaginent que ces plateformes servent aussi de terrain de jeu pour la cybercriminalité. Mais dans les recoins obscurs du web, les hackers exploitent la confiance inhérente à ces dépôts - les utilisant pour faire passer des malwares et lancer des attaques de phishing qui échappent même aux défenses d’entreprise les plus affûtées. Les outils mêmes qui alimentent l’innovation sont désormais détournés pour orchestrer des braquages numériques, laissant les entreprises désemparées face à la difficulté de distinguer l’ami de l’ennemi.

Dans le monde des développeurs, GitHub et GitLab sont synonymes de créativité et de collaboration. Pour les hackers, cependant, ces plateformes sont une mine d’or - offrant un hébergement gratuit et réputé pour tout, des chevaux de Troie d’accès à distance (RAT) aux faux portails de connexion. En générant des URL sur des domaines de confiance, les attaquants contournent les passerelles email et les filtres d’URL avec une facilité déconcertante.

Les chiffres sont éloquents : 95 % de ces campagnes tirent parti de la domination de GitHub, avec des attaques de phishing et de malware en hausse chaque année. Rien qu’en 2025, près de la moitié de toute l’activité malveillante observée sur les plateformes basées sur Git a eu lieu. Cette tendance souligne une réalité glaçante : GitHub fait face à une crise croissante de malwares, les attaquants exploitant ses domaines principaux pour la diffusion de malwares et le vol d’identifiants.

Comment ces attaques se déroulent-elles ? Souvent, tout commence par un lien apparemment anodin dans un email. Un simple clic peut déclencher le téléchargement silencieux d’un malware comme Muck Stealer, ou rediriger la victime vers un site de phishing imitant parfaitement les connexions Microsoft 365 ou Google. Les attaquants dissimulent fréquemment des RAT comme Remcos, Async RAT, Byakugan et DcRAT dans des archives protégées par mot de passe (.zip, .7z), échappant ainsi aux analyses automatisées et augmentant leurs chances de succès.

Les attaques hybrides sont en hausse, enchaînant infection par malware et phishing d’identifiants pour maximiser l’accès - même si une étape échoue. GitHub Pages (github.io) et GitLab Pages (gitlab.io) sont particulièrement prisés pour héberger des sites de phishing statiques, exploitant la réputation et la longévité des plateformes pour échapper à la détection.

L’impact est considérable. Plus de 30 familles de malwares ont été identifiées utilisant ces plateformes de confiance comme bases de lancement. Remcos RAT à lui seul représente 21 % des campagnes observées, permettant aux attaquants de contrôler à distance les systèmes infectés, de voler des mots de passe et même de miner de la cryptomonnaie sans être détectés. Les mesures de sécurité traditionnelles - listes de blocage de domaines, scores de réputation et analyses standards - se révèlent insuffisantes. Les équipes de sécurité doivent désormais aller plus loin, combinant analyse comportementale et formation des employés pour démasquer le loup déguisé en développeur.

Alors que GitHub et GitLab continuent de soutenir l’écosystème logiciel mondial, leur détournement par les cybercriminels sonne comme un avertissement. La confiance, jadis plus grand atout de ces plateformes, est désormais l’arme même retournée contre nous. Le défi est clair : défendre notre code, et nos entreprises, sans sacrifier l’esprit d’ouverture qui a bâti le monde numérique.

WIKICROOK

• Remote Access Trojan (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
• Credential Phishing : Le phishing d’identifiants est une cyberattaque où les attaquants se font passer pour des sites de confiance afin de voler noms d’utilisateur, mots de passe ou informations sensibles de connexion à des utilisateurs non méfiants.
• GitHub Pages : GitHub Pages permet aux utilisateurs d’héberger des sites web statiques à partir de dépôts GitHub. C’est utile mais parfois détourné pour le phishing ou l’hébergement de contenus malveillants.
• Loader : Un loader est un logiciel malveillant qui installe ou exécute d’autres malwares sur un système infecté, permettant d’autres cyberattaques ou accès non autorisés.
• Secure Email Gateway (SEG) : Une passerelle email sécurisée filtre et surveille les emails pour bloquer les menaces telles que le phishing, les malwares et le spam, protégeant les organisations contre les attaques par email.