Selon BleepingComputer, un nouvel outil open-source et multiplateforme, nommé Tirith, a été publié pour contrer les attaques par homoglyphes dans les environnements en ligne de commande.
🛡️ Tirith vise les attaques par homoglyphes consistant à utiliser des caractères visuellement similaires pour tromper l’utilisateur L’outil analyse les URL présentes dans les commandes tapées et empêche leur exécution lorsqu’une tentative malveillante est détectée.
L’annonce met l’accent sur le caractère multiplateforme et l’intégration en CLI, ciblant les scénarios où des URL trompeuses pourraient être exécutées par inadvertance. A new open-source and cross-platform tool called Tirith can detect homoglyph attacks over command-line environments by analyzing URLs in typed commands and stopping their execution.
Available on GitHub and also as an npm package, the tool works by hooking into the user’s shell (zsh, bash, fish, PowerShell) and inspecting every command the user pastes for execution.
🎯 Problème traité : les attaques par homoglyphes en terminal
Contrairement aux navigateurs web, les terminaux :
- affichent correctement l’Unicode,
- supportent les caractères invisibles,
- acceptent ANSI escape codes et caractères bidi,
ce qui les rend vulnérables aux attaques par homoglyphes (caractères visuellement similaires mais techniquement différents).
👉 Exemple : un domaine qui ressemble à github.com mais contient en réalité un caractère d’un autre alphabet.
Ces techniques sont fréquemment utilisées dans :
- Phishing par email,
- Attaques ClickFix (instructions demandant à l’utilisateur de copier-coller des commandes malveillantes).
🔍 Ce que Tirith peut détecter et bloquer
Tirith analyse les commandes et peut empêcher l’exécution si elle détecte :
🔹 Attaques liées aux URLs
- Homograph attacks :
- domaines avec caractères Unicode trompeurs
- punycode
- mélanges d’alphabets (latin, cyrillique, grec, etc.)
🔹 Manipulations du terminal
- Terminal injection :
- ANSI escape codes
- caractères bidirectionnels (bidi overrides)
- caractères zéro-width (invisibles)
🔹 Commandes dangereuses
- Pipe-to-shell patterns :
curl | bashwget | sheval $(...)
🔹 Risques système et supply-chain
-
Dotfile hijacking :
- modification de fichiers sensibles comme :
~/.bashrc~/.ssh/authorized_keys
- modification de fichiers sensibles comme :
-
Transport non sécurisé :
- exécution via HTTP sans TLS
-
Supply-chain risks :
- dépôts Git typosquattés
- registres Docker non fiables
🔹 Fuites de credentials
- URLs contenant des identifiants en clair (
userinfo@domain.com) - raccourcisseurs d’URL masquant la destination réelle
⚙️ Fonctionnement et performances
- Hooke directement dans :
- bash
- zsh
- fish
- PowerShell
- ❌ Ne fonctionne PAS avec Windows cmd.exe, utilisé dans de nombreuses attaques ClickFix.
- Latence : sub-milliseconde (quasi instantané).
- Peut :
- analyser des commandes sans les exécuter,
- inspecter les URLs au niveau byte Unicode,
- auditer des scripts exécutés avec SHA-256.
🔐 Respect de la vie privée (selon l’auteur)
Tirith :
- fonctionne entièrement localement,
- n’effectue aucun appel réseau,
- ne modifie pas les commandes utilisateur,
- ne tourne pas en tâche de fond,
- ne collecte aucune télémétrie,
- ne nécessite ni compte, ni API, ni cloud.
🖥️ Compatibilité
Fonctionne sur :
- Windows
- Linux
- macOS
📊 Adoption (à la date de l’article)
Moins d’une semaine après publication :
- ~ 1 600 stars sur GitHub
- 46 forks
⚠️ Limites importantes
- Ne protège pas cmd.exe (Windows Command Prompt) → zone où beaucoup d’attaques ClickFix opèrent.
- N’a pas encore été testé publiquement par BleepingComputer sur tous les scénarios listés.
Il s’agit d’une présentation d’outil visant à améliorer la sécurité opérationnelle sur terminal en détectant et bloquant proactivement des liens malveillants ou usurpés avant leur exécution.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-tool-blocks-imposter-attacks-disguised-as-safe-commands/