Début décembre 2024, Microsoft Threat Intelligence détecte une vaste campagne de malware qui impacte plus d'un million de terminaux. Le malware avait pour rôle de voler des informations des utilisateurs. L'attaque venait de sites de streaming embarqués illégaux avec de multiples redirections avec l'utilisateur de comptes GitHub. Les dépôts GitHub utilisés par l'attaque ont été fermés. Ces comptes permettaient de déployer sur les postes des fichiers et des scripts. 

"Les fichiers ont été utilisés pour collecter des informations système et pour mettre en place d'autres programmes malveillants et scripts pour exfiltrer des documents et des données de l'hôte compromis. Cette activité est suivie sous le nom générique Storm-0408 que nous utilisons pour traquer de nombreux acteurs de la menace associés à l'accès à distance ou aux programmes malveillants de vol d'informations et qui utilisent le phishing, l'optimisation des moteurs de recherche (SEO) ou les campagnes de malvertising pour distribuer des charges utiles malveillantes." précise l'équipe Microsoft. 

Visiblement, l'attaque s'est faite en 3 grandes étapes :

- étape 1 : déploiement du malware d'origine qui servait à charger les scripts complémentaires sur le poste compromis

- étape 2 : les fichiers et scripts découvrent le système, récupère les informations et les envoient à d'autres sites en utilisant un encodage Bas64 dans l'URL. The information collected included data on memory size, graphic details, screen resolution, operating system (OS), and user paths.

- étape 3 : activité malveillante supplémentaire envoyée par le malware 

Analyse très complète : https://www.microsoft.com/en-us/security/blog/2025/03/06/malvertising-campaign-leads-to-info-stealers-hosted-on-github/