En bref

  • Une campagne massive utilise la section Discussions de dépôts GitHub pour publier de fausses alertes de sécurité Visual Studio Code incitant les développeurs à télécharger un malware.
  • Les messages imitent des advisories officiels avec de faux CVE, un langage alarmiste et l'usurpation d'identité de mainteneurs légitimes.
  • L'attaque est industrialisée : des milliers de dépôts sont ciblés en quelques minutes depuis des comptes fraîchement créés, déclenchant des notifications par e-mail aux développeurs tagués.

Ce qui s'est passé

La société de sécurité applicative Socket a identifié une campagne d'ingénierie sociale à grande échelle ciblant les développeurs sur GitHub. Les attaquants publient des messages dans la section Discussions de nombreux dépôts populaires, se faisant passer pour des alertes de sécurité urgentes liées à Visual Studio Code. Les titres sont calibrés pour générer la panique : « Severe Vulnerability — Immediate Update Required », accompagnés de faux identifiants CVE et de détails techniques crédibles.

Pour renforcer la crédibilité, les auteurs usurpent l'identité de mainteneurs reconnus ou de chercheurs en sécurité. Les messages redirigent les victimes vers des sites externes où un prétendu correctif VS Code est proposé au téléchargement — en réalité un malware de vol d'informations. Selon Socket, l'opération est hautement automatisée : des comptes créés récemment ou peu actifs publient ces faux advisories sur des milliers de dépôts en quelques minutes.

Le mécanisme est particulièrement efficace car GitHub envoie automatiquement des notifications par e-mail aux utilisateurs mentionnés dans les discussions, ce qui amplifie considérablement la portée de l'attaque. Cette technique rappelle d'autres campagnes récentes ciblant la chaîne d'approvisionnement logicielle, comme l'empoisonnement du SDK Telnyx sur PyPI ou les efforts de GitHub pour renforcer la détection de code malveillant.

Pourquoi c'est important

Les développeurs sont des cibles de choix : leurs postes de travail contiennent des clés SSH, des tokens d'API, des accès à des pipelines CI/CD et des dépôts de code source. Compromettre un seul développeur peut ouvrir la porte à une attaque sur toute la chaîne d'approvisionnement logicielle d'une organisation. La section Discussions de GitHub, moins surveillée que les Issues ou les Pull Requests, offre un vecteur d'attaque encore sous-estimé.

Cette campagne souligne aussi les limites de la confiance implicite accordée aux notifications de plateformes légitimes. Quand un e-mail provient de GitHub avec un titre évoquant une vulnérabilité critique, le réflexe de cliquer est naturel, même pour des professionnels aguerris. C'est précisément ce biais que les attaquants exploitent.

Ce qu'il faut retenir

  • Ne téléchargez jamais de correctif depuis un lien posté dans une Discussion GitHub : vérifiez toujours la source sur le site officiel de l'éditeur ou dans les bases NVD, CISA KEV et MITRE CVE.
  • Méfiez-vous des comptes récemment créés ou sans historique de contribution qui publient des alertes de sécurité urgentes.
  • Configurez vos notifications GitHub pour filtrer les Discussions et activez l'authentification multifacteur sur tous vos comptes de développement.

Comment vérifier si une alerte de sécurité VS Code est légitime ?

Consultez directement le site officiel de Visual Studio Code ou le dépôt GitHub officiel de Microsoft pour VS Code. Vérifiez l'identifiant CVE mentionné sur la base NVD du NIST ou sur le site MITRE CVE. Les vraies alertes de sécurité sont publiées via les canaux officiels de l'éditeur, jamais dans la section Discussions de dépôts tiers.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact