Une campagne massive cible actuellement GitHub avec des milliers de faux messages imitant des alertes de sécurité Visual Studio Code. Publiées sur les Discussions de nombreux dépôts, ces notifications utilisent de faux identifiants CVE et redirigent vers des liens malveillants hébergés sur Google Drive.
L’objectif est de tromper les développeurs en utilisant les canaux officiels de GitHub. Les messages sont parfois envoyés directement par email via les notifications de la plateforme, renforçant leur crédibilité.
Le lien ne mène pas immédiatement à un malware. Il déclenche une série de redirections vers un site contrôlé par les attaquants, où un script collecte automatiquement des informations système : fuseau horaire, langue, système d’exploitation, navigateur et indicateurs d’automatisation.
Ce mécanisme permet de filtrer les victimes. Les bots et les chercheurs en sécurité sont exclus, tandis que les utilisateurs réels reçoivent la suite de l’attaque, rendant l’analyse du malware plus difficile.
GitHub est régulièrement ciblé par ce type de campagne. En 2025, une attaque similaire exploitait OAuth pour compromettre des comptes, tandis qu’en 2024, des campagnes de phishing passaient par des commentaires et des pull requests frauduleuses.
Le risque est élevé : vol de credentials développeur, compromission de comptes GitHub et accès aux projets ou infrastructures associées.
Une alerte de sécurité qui pointe vers Google Drive doit immédiatement être considérée comme suspecte.