Une vaste campagne a récemment été mise en lumière qui exploite la section de discussion GitHub pour tromper les développeurs et les rassembler sous l'apparence des avis de sécurité de Visual Studio Code. Selon le rapport publié par la société de sécurité Socket, les agresseurs créent des publications qui semblent être des rapports légitimes de vulnérabilités - avec des titres alarmistes, des identificateurs CVE présumés et, dans de nombreux cas, la supplantation de vrais responsables ou chercheurs - avec l'intention du destinataire de télécharger des "patchs" logés en dehors des canaux officiels.
Le vecteur est simple mais efficace: les publications sont générées automatiquement à partir de comptes nouveaux ou inactifs et publiées en milliers de dépôts en quelques minutes. Par l'étiquetage de masse des contributeurs ou des « observateurs », ces messages déclenchent les notifications par courrier de GitHub, atteignant directement les plateaux d'entrée où, avec la précipitation qui provoque un avis de sécurité, les signaux d'alarme évidents peuvent être ignorés.
Les entrées de fraude comprennent souvent des liens vers des fichiers hébergés dans des services tiers tels que Google Drive. Bien qu'à la vue nue Drive est un service de confiance, c'est précisément là où se trouve le piège : le lien redirige vers une chaîne basée sur les cookies qui finit par mener au domaine malveillant (par exemple, drnatashachin [.] com), où un script de reconnaissance JavaScript est exécuté. Ce code n'installe pas immédiatement la charge malveillante; d'abord il recueille la télémétrie du visiteur - fuseau horaire, emplacement, agent utilisateur, système d'exploitation et impression indiquant l'automatisation - il emballe ces données et les envoie à un serveur de contrôle au moyen d'une requête POST. Il s'agit d'une technique typique des systèmes de distribution du trafic (SDT) : filtrer les robots et les chercheurs et livrer la deuxième étape seulement aux victimes validées.
Socket n'a pas réussi à capturer la deuxième étape, donc il n'est pas entièrement documenté quel type de malware serait distribué si la victime passe ce filtre, bien que l'architecture et l'échelle suggèrent que nous sommes confrontés à une opération organisée avec des ressources. Il est également important de noter que le script initial ne tente pas de voler des lettres d'identité à ce moment-là, ce qui peut conduire à des erreurs : l'absence d'un vol direct de lettres d'identité n'implique pas une absence de risque.
Ce n'est pas la première fois que des acteurs malveillants abusent des mécanismes de reporting et de collaboration de GitHub. Au cours des dernières années, un certain nombre de campagnes ont vu le jour et ont profité des commentaires, des demandes de presse ou même des demandes d'autorisation d'accès à des comptes et de distribution d'hameçonnage. La nouveauté ici est la combinaison du remplacement des avis de sécurité d'extension de code VS, des liens vers des "patchs" en dehors du marché et de la distribution à grande échelle par Discussion.
Si vous recevez une telle alerte, vous devez arrêter avant d'agir. Vérifier tout indicateur de vulnérabilité dans les sources officielles en tant que Base de données nationale sur la vulnérabilité (NVD) le catalogue des vulnérabilités exploitées de la CISA aux États-Unis ( Vulnérabilités exploitées connues) ou la base de données de Vulnérabilité et exposition courantes (CVE). Pour les extensions de Visual Studio Code, vérifiez la source Commercialisation officielle et confirme avec les responsables du projet depuis leur profil ou les canaux officiels avant de télécharger ou d'installer un fichier externe.
Il est également recommandé d'examiner comment vous recevez les notifications dans GitHub et de réduire l'exposition inutile: regarder les paramètres de poste et de filtre dans votre compte aide à réduire le bruit et la probabilité de tomber dans les leurres. Si vous détectez une publication suspecte, signalez-la à GitHub pour qu'elle prenne des mesures au moyen du formulaire d'abus ( Signaler un abus dans GitHub) et de revoir comment les notifications fonctionnent sur votre profil dans la documentation officielle ( A propos des notifications de courrier dans GitHub).
La leçon pour les développeurs et les équipements de sécurité est double:: Le cas échéant; D'une part, garder calme et vérifier l'origine de toute alerte à l'aide de canaux et de bases de données vérifiés; d'autre part, supposer que les espaces de collaboration de masse peuvent être utilisés comme vecteurs de distribution et ajuster les pratiques d'hygiène numérique: valider les liens, préférer les installations de sources officielles, méfier des téléchargements de Google Drive qui remplacent supposément les dépôts ou les marchés, et exiger des confirmations directes des responsables avant d'appliquer des "patches" urgentes.
La campagne décrite par Socket rappelle que les plateformes que nous utilisons pour collaborer sont également un terrain fertile pour les abus, et que la confiance implicite dans les services populaires peut être manipulée par des opérations sophistiquées. Le maintien des habitudes de vérification et la mise à profit des sources officielles pour contrer les alertes réduisent considérablement la probabilité d'être une victime.
Pour ceux qui veulent approfondir la recherche originale, le rapport technique de Socket est disponible sur votre blog: Campagne large GitHub utilise de fausses alertes de sécurité VS Code pour livrer des logiciels malveillants.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...