Fake VS Code alerts on GitHub spread malware to developers
Mis à jour :
Campagne de malwares massive ciblant les développeurs via GitHub
Une campagne coordonnée de spam à grande échelle exploite la section “Discussions” de milliers de dépôts GitHub pour diffuser des malwares. Les attaquants usurpent l’identité de mainteneurs légitimes en publiant de fausses alertes de sécurité pour Visual Studio Code (VS Code), incitant les développeurs à télécharger des correctifs malveillants hébergés sur des plateformes tierces comme Google Drive.
Points clés :
- Modus operandi : Publication automatisée de messages alarmistes dans des milliers de dépôts, déclenchant des notifications par e-mail auprès des utilisateurs et suiveurs des projets.
- Technique de redirection : Les liens externes mènent à un script JavaScript de reconnaissance (TDS - Traffic Distribution System) qui profile la victime (OS, fuseau horaire, agent utilisateur) avant de potentiellement délivrer une charge utile de second niveau.
- Usurpation : Utilisation de titres urgents et de faux identifiants CVE pour paraître légitime.
Vulnérabilités :
- Aucun CVE réel n’est exploité ici ; les attaquants utilisent de faux identifiants CVE pour manipuler la perception des victimes et induire un sentiment d’urgence.
Recommandations :
- Vérification systématique : Croiser toute alerte de sécurité avec des sources officielles telles que la base de données nationale des vulnérabilités (NVD), le catalogue de la CISA ou le site officiel des CVE.
- Méfiance envers les sources : Les logiciels officiels ne sont jamais distribués via des liens directs sur des services de stockage cloud tiers (Google Drive, Dropbox, etc.).
- Analyse critique : Rester vigilant face aux signes de fraude typiques : urgence inhabituelle, demande de téléchargement externe, et mentions massives d’utilisateurs sans rapport avec le projet.