La leçon de ce matin est brutale : l’onboarding de confiance, les gestionnaires de paquets de confiance et les marketplaces d’extensions de confiance servent désormais de mécanisme de livraison.
À retenir : Trois sujets comptent maintenant : du contenu piloté par l’attaquant dans de vrais e-mails Robinhood, une fausse release open source voleuse de secrets, et des extensions VS Code conçues pour s’activer plus tard.
Des attaquants ont abusé du processus de création de compte Robinhood pour injecter du HTML dans de vraies alertes de connexion envoyées par noreply@robinhood.com. Les messages passaient SPF et DKIM, semblaient légitimes et poussaient les victimes vers un site de phishing. La conclusion est simple : faire confiance à l’expéditeur ne suffit plus si le contenu n’est pas nettoyé.
Le paquet populaire elementary-data a été compromis via une injection de script GitHub Actions. Un token de workflow a été exposé puis utilisé pour forger une release signée. La version 0.23.3 a diffusé un infostealer visant clés SSH, identifiants cloud, secrets CI, fichiers wallet et données d’environnement développeur, avec un impact étendu aux images conteneur.
Socket a trouvé 73 extensions OpenVSX liées à GlassWorm, dont six déjà activées. La nouvelle tactique repose sur la patience : publier quelque chose d’inoffensif, laisser la confiance s’installer, puis livrer la charge utile plus tard par mise à jour. C’est le même abus d’écosystème, en plus silencieux et plus méchant.
En bref : Le motif du jour n’est pas un malware exotique. C’est de la confiance ordinaire transformée en transport. Si un workflow, un template ou une marketplace paraît banal, les attaquants l’ont déjà remarqué.
KENSAI aide les équipes à cartographier les workflows exposés, les dépendances risquées et les angles morts côté développeur avant qu’ils ne deviennent des incidents.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team