Vous pensiez que GitHub était le sanctuaire sécurisé des développeurs ? Détrompez-vous. Un piège d’une perversité rare vient d’être mis au jour, transformant la plateforme de partage de code en un véritable champ de mines numérique. Des chercheurs de Kaspersky ont découvert 15 dépôts malveillants diffusant le redoutable malware WebRAT, une porte dérobée capable de prendre le contrôle total de votre machine.
Windows sous attaque, Linux épargné ? C’est ce que nous allons voir dans cet article.
Le piège parfait : quand l’IA aide les hackers
Pour attirer leurs victimes, les pirates ont utilisé une méthode redoutable : se faire passer pour des experts en cybersécurité. Ils ont publié de faux exploits de « preuve de concept » (PoC) pour des vulnérabilités critiques très médiatisées. Pour rendre le tout crédible, Kaspersky souligne que les descriptions ont été générées par IA, imitant à la perfection les rapports de recherche officiels.
Une fois que l’utilisateur télécharge l’archive ZIP (protégée par mot de passe pour échapper aux scanners), un « dropper » nommé rasmanesc.exe entre en action. Son rôle est simple et brutal : il élève ses privilèges au niveau administrateur, désactive Windows Defender et installe silencieusement WebRAT.
Espionnage total : Steam, Discord et votre vie privée en danger
Une fois installé, le « rat » numérique (Remote Access Trojan) commence son festin. Selon les rapports de TechRadar, ce malware ne se contente pas de voler des données ; il s’approprie votre identité numérique.
En effet, ce prédateur numérique opère un vol massif de vos identifiants Steam, Discord et Telegram tout en siphonnant vos portefeuilles de cryptomonnaies. Il instaure également un voyeurisme numérique permanent en activant votre webcam et votre microphone à votre insu pour une surveillance en temps réel. Enfin, via une fonction de keylogging, chaque touche frappée sur votre clavier est enregistrée, ce qui inclut vos mots de passe les plus sensibles et vos comptes bancaires.
Pire encore : il instaure également un voyeurisme numérique permanent en activant votre webcam et votre microphone à votre insu pour une surveillance en temps réel. Enfin, via une fonction de keylogging, chaque touche frappée sur votre clavier est enregistrée, ce qui inclut vos mots de passe les plus sensibles et vos comptes bancaires.
Étudiants et juniors : les cibles privilégiées
Depuis septembre 2025, les attaquants ont élargi leur filet. Si WebRAT visait auparavant les joueurs via des « cheats » pour Counter-Strike ou Roblox, il cible désormais les étudiants et les jeunes professionnels de la sécurité informatique. Comme l’indique BleepingComputer, les hackers misent sur l’inexpérience de ceux qui testent des exploits directement sur leur machine principale sans utiliser de machine virtuelle isolée.
Bien que GitHub ait supprimé les dépôts identifiés, le mal est fait pour ceux qui ont déjà téléchargé ces fichiers. Si vous avez récemment testé un exploit provenant d’une source inconnue sur GitHub, une analyse complète de votre système est impérative.
Windows dans la ligne de mire, Linux épargné ?
Pour nos lecteurs de la communauté GoodTech, une précision technique s’impose : cette campagne vise spécifiquement l’écosystème Windows. Le malware s’appuie sur des fichiers exécutables .exe, des scripts .bat et des bibliothèques .dll pour infecter sa cible. Sa stratégie consiste à élever ses privilèges au niveau administrateur pour ensuite désactiver Windows Defender et opérer sans aucune entrave.
Et Linux dans tout ça ?
Nous le disions : d’après l’analyse technique de Kaspersky, cette campagne spécifique cible quasi exclusivement les utilisateurs de Windows. Les détections heuristiques de Kaspersky listent explicitement des chevaux de Troie de type Win32 et Win64.
Bien que les utilisateurs de Linux ne soient pas directement vulnérables à ces fichiers binaires, l’ingéniosité des attaquants utilisant l’intelligence artificielle pour générer des rapports de vulnérabilités crédibles impose une vigilance universelle. Traduction ? Bien que vous soyez techniquement à l’abri de cet exécutable précis, restez vigilants. Les pirates utilisent souvent GitHub pour tester des scripts Python ou des binaires multiplateformes qui pourraient, à l’avenir, viser d’autres OS, comme macOS ou les systèmes GNU/Linux.
🛡️ Checklist : êtes-vous infecté par WebRAT ?
Si vous ou vos collègues avez téléchargé un « exploit » ou un « crack » sur GitHub récemment, passez ces points en revue immédiatement :
-
Processus suspects : ouvrez votre gestionnaire de tâches et cherchez un processus nommé
rasmanesc.exeou tout exécutable inconnu lancé juste après un fichier.bat. -
Alerte Sécurité Windows : vérifiez l’état de votre protection antivirus. Si Windows Defender a été désactivé sans votre intervention, le malware est probablement déjà en place.
-
Fichiers « signatures » : regardez dans vos archives ZIP téléchargées. La présence d’un fichier vide nommé
pass – 8511et d’un fichierpayload.dllcorrompu est la signature typique de cette campagne. -
Activité réseau : surveillez vos connexions sortantes. Le malware tente de contacter des URL spécifiques (ex:
ezc5510min.temp[.]swtest[.]ru) pour télécharger la charge finale. -
Comptes sociaux : soyez attentifs à toute connexion inhabituelle ou demande de code de double authentification (2FA) sur Steam, Discord, Telegram ou vos portefeuilles de cryptomonnaies.
2026, l’année « Zero Trust » ?
L’affaire WebRAT clôture l’année 2025 sur un constat amer : même les plateformes de confiance comme GitHub peuvent devenir des vecteurs d’infection sophistiqués. Cette campagne prouve que les attaquants n’hésitent plus à cibler directement ceux qui cherchent à se protéger — les chercheurs et étudiants en cybersécurité. Pour 2026, la règle d’or reste l’isolation : ne lancez jamais un code ou un exploit suspect hors d’une machine virtuelle ou d’un environnement « sandbox » sécurisé. La curiosité est une qualité chez le développeur, mais sans protection, elle devient votre plus grande faille.
