En bref

  • Le groupe APT nord-coréen « Contagious Interview » exploite les fichiers tasks.json de VS Code pour exécuter automatiquement un malware dès l'ouverture d'un projet.
  • Les cibles sont des développeurs et fondateurs du secteur crypto/Web3, approchés via de faux entretiens LinkedIn.
  • Microsoft a corrigé la faille dans VS Code v1.109 (janvier 2026) — la mise à jour est indispensable.

VS Code transformé en vecteur d'infection par un APT nord-coréen

Des chercheurs ont documenté le 23 mars 2026 une nouvelle tactique du groupe APT nord-coréen « Contagious Interview » (alias WaterPlum). Les attaquants exploitent la fonctionnalité tasks.json de Visual Studio Code, qui permet d'exécuter automatiquement des scripts à l'ouverture d'un dossier lorsque l'option runOn: folderOpen est activée. La victime reçoit un dépôt de code apparemment légitime via LinkedIn — dans le cadre d'un faux processus de recrutement — et l'infection se déclenche dès l'ouverture du projet dans VS Code, sans aucune action supplémentaire.

Le malware déployé, baptisé StoatWaffle, est un cheval de Troie d'accès distant (RAT) modulaire basé sur Node.js. Ses capacités incluent le vol des identifiants enregistrés dans les navigateurs, l'extraction du trousseau iCloud sous macOS, et l'exécution de commandes arbitraires à distance. Pour contourner les solutions de sécurité, les charges malveillantes sont téléchargées depuis des domaines Vercel ou des GitHub Gist — des services légitimes rarement bloqués par les proxies d'entreprise. Microsoft a corrigé la vulnérabilité dans VS Code v1.109, publiée en janvier 2026, en désactivant par défaut l'option task.allowAutomaticTasks.

Ce groupe nord-coréen est actif depuis 2023 dans des campagnes ciblant l'écosystème Web3. L'objectif est double : le vol direct de cryptomonnaies et l'espionnage industriel sur les projets blockchain en développement. Le recours à de faux recruteurs LinkedIn reste l'un des vecteurs d'ingénierie sociale les plus efficaces contre les profils techniques seniors.

Pourquoi les développeurs Web3 sont particulièrement exposés

VS Code est utilisé par plus de 70% des développeurs dans le monde — compromettre cet outil offre un accès particulièrement précieux aux secrets de code, aux tokens d'API et aux environnements de déploiement. Pour les équipes crypto/Web3, où un seul développeur compromis peut donner accès à des portefeuilles multi-signatures ou à des smart contracts en production, les conséquences peuvent être catastrophiques. Ce groupe nord-coréen a déjà été impliqué dans le vol de centaines de millions de dollars en cryptomonnaies ces deux dernières années.

Ce qu'il faut retenir

  • Mettre à jour VS Code vers la version 1.109 ou supérieure immédiatement si ce n'est pas encore fait.
  • Ne jamais ouvrir un dépôt reçu d'un inconnu sans auditer d'abord le contenu de .vscode/tasks.json et .vscode/launch.json.
  • Tout projet de test technique envoyé via un recrutement LinkedIn doit être traité comme potentiellement hostile, surtout dans le secteur crypto.

Comment vérifier si mon VS Code est protégé contre cette attaque ?

Assurez-vous d'utiliser VS Code version 1.109 ou supérieure. Dans cette version, l'option task.allowAutomaticTasks est désactivée par défaut, ce qui empêche l'exécution automatique des tâches à l'ouverture d'un dossier. Pour vérifier, allez dans les paramètres (Ctrl+,) et recherchez « allowAutomaticTasks » — la valeur doit être off. Inspectez également le dossier .vscode/ de tout projet externe avant de l'ouvrir.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact