Des milliers de faux messages imitant des notifications de s\u00e9curit\u00e9 Visual Studio Code ont \u00e9t\u00e9 post\u00e9s sur GitHub. Le but : rediriger les d\u00e9veloppeurs vers un site malveillant qui collecte leurs donn\u00e9es syst\u00e8me. La m\u00e9thode est franchement vicieuse.<\/p>\n
Les chercheurs en s\u00e9curit\u00e9 de Socket viennent de mettre le doigt sur une op\u00e9ration d’ampleur. Des centaines, voire des milliers de messages quasi identiques ont \u00e9t\u00e9 publi\u00e9s en quelques minutes sur la section Discussions de nombreux d\u00e9p\u00f4ts GitHub.<\/p>\n
Chaque message reprend le m\u00eame mod\u00e8le : un titre alarmiste du type “Vuln\u00e9rabilit\u00e9 grave Mise \u00e0 jour imm\u00e9diate requise”, un faux identifiant CVE pour faire s\u00e9rieux, et un lien vers une pr\u00e9tendue extension VS Code corrig\u00e9e h\u00e9berg\u00e9e sur Google Drive.<\/p>\n
Les comptes utilis\u00e9s sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en s\u00e9curit\u00e9. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un d\u00e9p\u00f4t ou qui sont tagu\u00e9es, les fausses alertes arrivent directement dans la bo\u00eete mail des d\u00e9veloppeurs. Vous pouvez donc vous faire avoir sans m\u00eame ouvrir GitHub.<\/p>\n
Bien s\u00fbr, le lien Google Drive ne vous am\u00e8ne pas d’un coup vers un fichier infect\u00e9. Il d\u00e9clenche avant une s\u00e9rie de redirections qui vous emm\u00e8nent inlassablement vers un domaine bien foireux, o\u00f9 un script JavaScript va se charger du sale boulot.<\/p>\n
Ce script collecte automatiquement le fuseau horaire, la langue, le syst\u00e8me d’exploitation, l’identifiant du navigateur et m\u00eame des indicateurs d’automatisation. Tout est envoy\u00e9 vers un serveur de commande sans que vous n’ayez \u00e0 cliquer sur quoi que ce soit.<\/p>\n
L’id\u00e9e derri\u00e8re ce dispositif, c’est de trier les visiteurs. Les robots et les chercheurs en s\u00e9curit\u00e9 sont \u00e9cart\u00e9s, et seuls les vrais humains re\u00e7oivent la suite de l’attaque. Les chercheurs de Socket n’ont d’ailleurs pas r\u00e9ussi \u00e0 capturer le malware de deuxi\u00e8me \u00e9tape, ce qui montre que le filtrage fonctionne plut\u00f4t bien.<\/p>\n
GitHub a d\u00e9j\u00e0 \u00e9t\u00e9 cibl\u00e9 par ce genre de campagne. En mars 2025, une attaque similaire avait touch\u00e9 12 000 d\u00e9p\u00f4ts avec de fausses alertes de s\u00e9curit\u00e9 qui poussaient les d\u00e9veloppeurs \u00e0 autoriser une application OAuth malveillante.<\/p>\n
Cette fois-l\u00e0, les pirates obtenaient un acc\u00e8s direct aux comptes GitHub des victimes. En juin 2024, c’\u00e9tait via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d’hame\u00e7onnage.<\/p>\n
Le proc\u00e9d\u00e9 est malin. Utiliser les notifications GitHub pour donner une apparence officielle \u00e0 des messages bidons, c’est le genre d’astuce qui marche bien sur des d\u00e9veloppeurs press\u00e9s.\u00a0<\/p>\n
Bon par contre, un lien Google Drive dans une alerte de s\u00e9curit\u00e9, \u00e7a devrait quand m\u00eame mettre la puce \u00e0 l’oreille. Si vous recevez ce type de message, v\u00e9rifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer o\u00f9 que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.<\/p>\n