Le malware trompe le personnel informatique pour télécharger des installateurs de bureau GitHub malveillants avec un décryptage gatiné par le GPU ciblant les données sensibles à travers les environnements Windows et MacOS.
Les chercheurs en sécurité d’Arctic Wolf ont découvert une nouvelle campagne de logiciels malveillants ciblant les utilisateurs en Europe occidentale, diffusés par Google Ads et en utilisant des techniques d’évasion sophistiquées.
Surnommé Gpugate, la campagne utilise des installateurs de bureau GitHub malveillants pour distribuer sa charge utile comme un logiciel légitime. Les attaquants utilisent des plates-formes de confiance pour contourner les méthodes de détection traditionnelles et attirer les utilisateurs dans le téléchargement du malware.
« Le 19 août 2025, un acteur de menace a exploité la structure du référentiel de Github ainsi que des placements payants sur Google Ads pour canaliser les utilisateurs vers un téléchargement malveillant hébergé sur un domaine de look », ont déclaré des chercheurs d’Arctic Wolf dans un article de blog. «En intégrant un lien spécifique à la validation dans la publicité, les attaquants ont fait apparaître le téléchargement provenant d’une source officielle, évitant efficacement l’examen de l’utilisateur typique.»
Les opérateurs de Gpugate ont également été vus incorporant des techniques d’évasion avancées, notamment un processus de décryptage basé sur GPU qui garantit que le malware ne s’active que sur des systèmes avec du matériel graphique spécifique.
Publicités malveillantes se faisant passer pour le bureau github
Le centre d’opérations de cybersécurité d’Arctic Wolf (CSOC) a repéré les logiciels malveillants distribués via des annonces Google qui ont dirigé les utilisateurs vers des référentiels GitHub compromis. Ces publicités ont été soigneusement conçues pour paraître légitimes, en utilisant des liens spécifiques à des commit qui imitaient le flux de travail GitHub authentique. Une fois que les utilisateurs ont cliqué sur, ils ont été redirigés vers de faux domaines hébergeant un installateur de bureau GitHub malveillant.
Les publicités ont été conçues pour promouvoir un installateur «GitHub Desktop» ou des outils GitHub associés, ce qui les faisait apparaître comme des téléchargements de logiciels légitimes. Cette approche a permis aux attaquants d’exploiter la crédibilité des publicités GitHub et Google, en contournant l’examen de base et en augmentant la probabilité d’un téléchargement.
Les chercheurs ont averti que la campagne visait à infiltrer les organisations en trompant le personnel informatique – qui ont généralement des privilèges de réseau élevés – en téléchargeant des logiciels malveillants sous l’installation de GitHub Desktop, permettant potentiellement de vol d’identification, d’exfiltration d’informations et même de déploiement de ransomware.
« Une fois la charge utile malveillante exécutée par l’utilisateur, elle obtient des droits administratifs, permettant de nouveaux mouvements latéraux et de la persistance », ont déclaré les chercheurs.
Le décryptage in-gardé GPU échappe à la détection
Le malware lui-même est livré en tant que fichier d’installation de logiciels Microsoft (MSI), d’environ 128 Mo de taille. Il dispose d’un mécanisme de décryptage à GPU qui maintient la charge utile cryptée à moins qu’il ne détecte la présence d’un véritable GPU sur le système. Les chercheurs ont noté que cette conception permet à Gpugate de rester en sommeil dans des machines virtuelles, des environnements d’analyse automatisés ou des machines moins puissantes, ce qui rend les chercheurs en sécurité extrêmement difficiles à analyser.
Une fois activé, le malware lance PowerShell avec des paramètres conçus pour contourner les politiques d’exécution de Windows tout en cachant ses fenêtres à partir de la vue utilisateur. De plus, la persistance est obtenue grâce à une tâche planifiée exécutée avec les privilèges administratifs les plus élevés, lui permettant de survivre aux redémarrages et de fonctionner dans les séances utilisateur.
La campagne cible également les appareils MacOS, distribuant Amos Stealer (également connu sous le nom de Stealer atomic) via un installateur sur mesure qui correspond à des processeurs X64 ou ARM. Ce voleur d’informations, vendu sous forme de logiciels malveillants en tant que service sur les forums souterrains, peut exfiltrer un large éventail de données sensibles, y compris les mots de passe de porte-clés, les profils VPN, les informations d’identification de navigateur, les données de messagerie instantanée, les documents et les portefeuilles de crypto-monnaie.
Les chercheurs ont noté que l’inclusion d’attaques multiplateformes démontre l’objectif de l’opérateur pour un accès complet et persistant dans divers environnements d’entreprise. « Les malvertising et le géofencing utilisés sont personnalisés pour cibler spécifiquement les pays de l’UE », ont-ils ajouté. «Les industries que nous avons observées directement ciblées comprenaient les travailleurs du secteur des technologies de l’information.» Pour la protection, Arctic Wolf recommande de combiner l’inspection du temps d’exécution avec le sable et la sensibilisation des utilisateurs, car l’évasion avancée de Gpugate et le mimétisme convaincant rendent les défenses statiques insuffisantes.
