Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.

Une campagne massive sur GitHub Discussions

Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.

Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.

Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.

Un système de filtrage avant le malware

Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.

Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.

L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.

Ce n'est pas la première fois

GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.

Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.

Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés. 

Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.

Source : Bleeping Computer

La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.

Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L'objectif : voler les identifiants de portefeuilles crypto.

Des caractères invisibles qui cachent du code

Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s'affichent pas du tout à l'écran, mais qui contiennent quand même des valeurs exploitables.

Dit plus simplement, chaque caractère invisible correspond à un point de code que le décodeur extrait, reconstruit en payload, puis exécute via eval(). Le code malveillant est là, sous vos yeux, mais vous ne le voyez pas.

Aikido Security a découvert que cette campagne avait eu lieu entre le 3 et le 9 mars derniers. Plus de 150 dépôts GitHub ont été compromis, mais aussi des paquets npm comme @aifabrix/miso-client et @iflow-mcp/watercrawl-watercrawl-mcp.

Si on regarde du côté de VS Code, l'extension quartz-markdown-editor et 72 extensions sur Open VSX ont été touchées. Les attaquants ont aussi utilisé des LLM pour générer des commits de couverture parfaitement crédibles, et passer ainsi sous les radars des reviewers.

La blockchain Solana impliquée

Ce qui rend Glassworm encore plus fourbe, c'est son infrastructure. Au lieu d'utiliser un serveur classique facile à bloquer, le malware récupère ses instructions de commande sur la blockchain Solana. Ce qui veut dire qu'il n'y a pas de serveur central à couper : les instructions sont inscrites dans la blockchain, accessibles à tous et quasi impossibles à supprimer.

L'objectif final est le vol de données liées aux portefeuilles crypto. Le malware cible 49 extensions de navigateur, dont MetaMask, Coinbase Wallet et Phantom. Il récupère les identifiants stockés localement et les exfiltre vers les serveurs des attaquants.

Côté attaquants, c'est du beau travail. Cacher du code dans des caractères que personne ne voit, utiliser une blockchain comme canal de commande et se servir d'IA pour maquiller les commits, c'est bien ficelé.

Le problème, c'est que ça expose un angle mort assez gênant dans la confiance qu'on accorde à l'open source : on installe des paquets et des extensions sans forcément lire chaque ligne de code, et quand le code malveillant est carrément invisible, ça devient compliqué à détecter.

Sources : Aikido.dev , Socket.dev

Et si vos fichiers .env se transformaient en un joli tableau avec des astérisques partout afin d'assurer la confidentialité de vos clés API et autres crédentials ? Hé bien c'est exactement ce que propose Dotenv Mask Editor , une extension VS Code qui remplace carrément l'éditeur texte par une grille.

Du coup, vos clés API, tokens AWS, mots de passe PostgreSQL et autres STRIPE_SECRET_KEY s'affichent sous forme de ****** et vous pouvez bosser dessus même si quelqu'un mate par-dessus votre épaule.

En gros, dès que vous ouvrez un fichier .env (ou .env.local, .env.production... bref, tout ce qui matche le pattern), l'extension vous présente vos variables dans un tableau à deux colonnes. Les clés à gauche, les valeurs masquées à droite. Pour modifier une valeur, hop, vous cliquez dessus et elle se dévoile le temps de l'édition. Vous cliquez ailleurs, c'est re-masqué. Pas de sauvegarde manuelle à faire, ça se fait tout seul.

Le masquage se déclenche à partir de 6 caractères (en dessous, c'est probablement pas un secret... genre PORT=3000 ou DEBUG=true, on s'en fiche). Et le truc cool, c'est que tout tourne en local sur votre machine.

Si vous vous dites "mais attends, y'a pas déjà Camouflage pour ça ?"... oui et non. Camouflage masque vos secrets avec un overlay pendant les démos et le partage d'écran, mais vous continuez à éditer dans l'éditeur texte classique. Dotenv Mask Editor, lui, change complètement l'interface, c'est un éditeur de tableau dédié aux variables d'environnement. Deux approches différentes du coup, et rien ne vous empêche d'utiliser les deux.

L'extension est sous licence MIT, fonctionne sur toutes les plateformes (Windows, Linux, macOS, même VS Code Web) et vous pouvez ajouter des patterns de fichiers personnalisés dans vos settings.json.

D'ailleurs, si vous voulez l'installer, c'est du classique : Ctrl+Shift+X dans VS Code (Cmd+Shift+X sur Mac), vous tapez "dotenv mask" et voilà.

Avec ça, vos secrets restent secrets mais faut quand même pas oublier de mettre votre .env dans le .gitignore hein. ^^

Moi, j’adore quand quelqu’un fabrique un truc juste parce qu’il en a envie, sans business plan, sans pitch deck, sans lever de fonds. Juste un dev, son clavier, et l’envie de créer.

Et bien c’est exactement ce qui s’est passé avec MkEditor, et ça fait du bien !

Le créateur de MkEditor (qui se décrit lui-même comme “un peu timide pour partager ses créations”) a passé plusieurs années à maintenir cet éditeur Markdown qui respecte les specs CommonMark.

Pourquoi ?

Et bien pas pour concurrencer Obsidian ou Typora. Pas pour devenir la prochaine licorne de la tech. Non, non, juste parce qu’il voulait comprendre comment VSCode fonctionnait en détail. Et ce qu’il nous a pondu, c’est un éditeur qui utilise Monaco Editor de Microsoft, le même moteur qui fait tourner VSCode.

Alors oui, on va me dire “mais Korben, il existe déjà 50 éditeurs Markdown”. C’est vrai et ces éditeurs ont su se rendre incontournables pour les développeurs et les équipes. Obsidian cartonne avec son graph view, Typora fait toujours rêver avec son rendu en temps réel. Mais MkEditor a quelque chose de différent : Il ne cherche pas à révolutionner quoi que ce soit. Il fait juste très bien ce qu’il fait.

L’outil embarque des fonctionnalités plutôt sympas. D’abord, vous avez un split screen redimensionnable avec synchronisation du scroll entre l’éditeur et la preview. Ensuite, des raccourcis clavier personnalisables pour formater votre texte ou insérer des blocs de code. Et il y a même de l’autocomplétion pour les langages dans les code blocks, exactement comme dans VSCode.

Ce qui est bien pensé aussi, c’est l’export HTML. Vous pouvez comme ça générer du HTML brut ou une version stylée avec Bootstrap et FontAwesome directement injectés dans le <head>. Pratique quand vous voulez partager un document qui a de la gueule sans vous prendre la tête avec le CSS. Les paramètres sont configurables soit via l’interface, soit directement dans un fichier settings.json pour les puristes du terminal.

Le truc cool aussi, c’est qu’il y a la palette de commandes de VSCode. Vous tapez Ctrl+Shift+P (ou Cmd+Shift+P sur Mac) et boom, vous avez accès à toutes les commandes. Pour ceux qui vivent dans VSCode, c’est comme retrouver ses pantoufles.

Et si vous ne voulez pas installer l’application desktop (disponible en Electron pour Windows, Linux et macOS), vous pouvez tester directement la version web en cliquant ici. Pas de compte à créer, pas de données à fournir, vous arrivez et vous écrivez. C’est chouette non, à une époque où chaque app veut votre mail, votre 06 et votre groupe sanguin.

Le développeur l’avoue lui-même dans son post… il a créé MkEditor juste parce qu’il en avait envie, sans cas d’usage particulier, juste pour le plaisir de construire quelque chose. C’est cette philosophie qui résume tout ce que j’aime dans l’open source.

Le projet est donc sur GitHub si vous voulez contribuer ou juste jeter un œil au code. Le dev accepte les feedbacks et les rapports de bugs, toujours avec cette modestie qui caractérise les vrais artisans du code.

Alors non, MkEditor ne va pas détrôner les géants du Markdown et il ne va pas lever 10 millions (enfin, quoique, on ne sait jamais dans la vie…). Il n’aura peut-être même pas sa propre conférence annuelle, mais il existe, il fonctionne bien, et il est gratuit.