Des alertes VS Code factices sur GitHub propagent des logiciels malveillants aux développeurs

Des alertes VS Code factices sur GitHub propagent des logiciels malveillants aux développeurs

Une campagne de masse piège les développeurs GitHub avec des alertes de sécurité falsifiées

Les développeurs utilisant GitHub subissent une attaque importante. Des personnes malveillantes publient des alertes de sécurité factices pour Visual Studio Code dans la section Discussions de multiples projets, afin d’inciter les utilisateurs à télécharger un logiciel malveillant.

Ces messages frauduleux sont présentés comme des avertissements concernant des vulnérabilités. Ils utilisent des titres alarmistes, tels que « Vulnérabilité Critique – Mise à jour Immédiate Requise », et incluent parfois des identifiants CVE inventés. L’attaquant prend souvent l’identité de mainteneurs de code légitimes ou de chercheurs pour gagner en crédibilité.

La société de sécurité applicative Socket indique que cette activité semble être une opération coordonnée à grande échelle, plutôt qu’une attaque ponctuelle. Les discussions sont postées automatiquement depuis des comptes nouveaux ou peu actifs sur des milliers de dépôts en quelques minutes, ce qui active des notifications par email à un grand nombre d’utilisateurs mentionnés.

Fake security alerts in Discussions
Les posts contiennent des liens vers des versions supposément corrigées d’extensions VS Code, hébergées sur des services externes comme Google Drive. Ce canal de distribution, non officiel pour des extensions, peut tromper les utilisateurs pressés.

Example of the fake security alert
Cliquer sur le lien entraîne une série de redirections vers le domaine drnatashachinn[.]com, qui exécute un script JavaScript de reconnaissance. Ce premier payload collecte le fuseau horaire, la langue, les détails du système et de l’agent utilisateur de la victime. Les données sont ensuite envoyées au command-and-control.

Deobfuscated JS payload
Cette étape agit comme un système de filtrage, profilant les victimes pour écarter les bots et les chercheurs, et délivrant un second stage seulement aux machines validées. Socket n’a pas observé cette seconde payload, mais note que le script JS ne capture pas directement des credentials.

L’utilisation abusive des systèmes de notification de GitHub par des cybercriminels n’est pas nouvelle. En mars 2025, une campagne de phishing avait visé 12 000 dépôts avec des alertes falsifiées pour obtenir l’autorisation d’une application OAuth malveillante. Une autre campagne similaire avait été observée en juin 2024.

Face à une alerte de sécurité, les utilisateurs doivent vérifier les informations dans des sources autorisées comme le National Vulnerability Database ou le catalogue des vulnérabilités exploitées de la CISA. Ils doivent examiner la légitimité du message, recherchant notamment des liens de téléchargement externes ou des identifiants CVE non vérifiables.