15 juillet 2026
Logo GitHub

Faux dépôts GitHub : 300 pièges bien ficelés pour vider vos comptes et vos cryptos

Croire télécharger un outil de sécurité et se faire vider ses comptes, il fallait oser. C’est pourtant ce qui attendait les internautes tombés sur environ 300 faux dépôts GitHub, cette plateforme géante où les développeurs du monde entier rangent et partagent leur code source.

L’alerte vient des chercheurs d’Arctic Wolf, une société spécialisée dans la cybersécurité. Ils ont repéré cette petite armée de projets bidons, montés à la va-vite depuis la fin juin, dont près de 292 déguisés en marques connues du grand public.

La recette n’a rien de révolutionnaire, mais elle marche redoutablement bien. Chaque faux dépôt recopie à l’identique la page de présentation de l’original, puis colle un gros bouton Download Secure Content. Sauf qu’au lieu du logiciel promis, ce bouton sert une archive ZIP piégée.

À l’intérieur cohabitent un vrai programme parfaitement légitime et un fichier système trafiqué, l’ensemble volontairement gonflé à 136 Mo pour ne pas éveiller les soupçons. Il suffit de lancer le logiciel pour qu’il charge la pièce vérolée sans broncher, et le piège se referme.

Ce qui se cache derrière, c’est un infostealer, un type de virus dont le seul métier consiste à aspirer tout ce qui a de la valeur sur votre ordinateur. Et celui-là ne fait pas dans la dentelle.

Yubico YubiKey 5 NFC, clé de sécurité 2FA

Pour mettre vos comptes à l’abri de ce genre de vol de mots de passe, une clé de sécurité physique reste l’une des parades les plus efficaces :

Yubico YubiKey 5 NFC, clé de sécurité 2FA → voir sur Amazon

Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.

Il fouille les mots de passe et les cookies enregistrés dans plus de dix-neuf navigateurs, s’invite dans une trentaine de portefeuilles de cryptomonnaies, siphonne les comptes Steam en lisant directement la mémoire, et rafle au passage vos jetons de connexion Discord et Telegram.

Il pousse même le vice jusqu’à relever l’identifiant unique de votre carte réseau et une empreinte de votre fond d’écran, histoire de bien ficher la machine infectée.

La plupart des faux dépôts ont fini par disparaître après signalement, mais une soixantaine de liens redirecteurs traînaient encore quand les chercheurs sont passés. Détail presque cocasse, les pirates ont oublié quelques insultes en russe dans certains comptes, et tout indique un bon vieux travail artisanal, sans la moindre intelligence artificielle dans la boucle.

La leçon tient en une phrase. Un joli bouton de téléchargement posé sur un dépôt inconnu ne vaudra jamais le site officiel de l’éditeur, et cette campagne vient encore une fois nous le rappeler à nos dépens.

Crédit photo : GitHub

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *