Le groupe APT nord-coréen Contagious Interview infecte les développeurs crypto via de faux entretiens LinkedIn et des tâches automatiques VS Code. Mise à jour v1.109 requise.
La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de La Corée du Nord piège les devs crypto via VS Code, nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
En bref
- Le groupe APT nord-coréen « Contagious Interview » exploite les fichiers tasks.json de VS Code pour exécuter automatiquement un malware dès l'ouverture d'un projet.
- Les cibles sont des développeurs et fondateurs du secteur crypto/Web3, approchés via de faux entretiens LinkedIn.
- Microsoft a corrigé la faille dans VS Code v1.109 (janvier 2026) — la mise à jour est indispensable.
VS Code transformé en vecteur d'infection par un APT nord-coréen
Des chercheurs ont documenté le 23 mars 2026 une nouvelle tactique du groupe APT nord-coréen « Contagious Interview » (alias WaterPlum). Les attaquants exploitent la fonctionnalité tasks.json de Visual Studio Code, qui permet d'exécuter automatiquement des scripts à l'ouverture d'un dossier lorsque l'option runOn: folderOpen est activée. La victime reçoit un dépôt de code apparemment légitime via LinkedIn — dans le cadre d'un faux processus de recrutement — et l'infection se déclenche dès l'ouverture du projet dans VS Code, sans aucune action supplémentaire.
Le malware déployé, baptisé StoatWaffle, est un cheval de Troie d'accès distant (RAT) modulaire basé sur Node.js. Ses capacités incluent le vol des identifiants enregistrés dans les navigateurs, l'extraction du trousseau iCloud sous macOS, et l'exécution de commandes arbitraires à distance. Pour contourner les solutions de sécurité, les charges malveillantes sont téléchargées depuis des domaines Vercel ou des GitHub Gist — des services légitimes rarement bloqués par les proxies d'entreprise. Microsoft a corrigé la vulnérabilité dans VS Code v1.109, publiée en janvier 2026, en désactivant par défaut l'option task.allowAutomaticTasks.
Ce groupe nord-coréen est actif depuis 2023 dans des campagnes ciblant l'écosystème Web3. L'objectif est double : le vol direct de cryptomonnaies et l'espionnage industriel sur les projets blockchain en développement. Le recours à de faux recruteurs LinkedIn reste l'un des vecteurs d'ingénierie sociale les plus efficaces contre les profils techniques seniors.
Pourquoi les développeurs Web3 sont particulièrement exposés
VS Code est utilisé par plus de 70% des développeurs dans le monde — compromettre cet outil offre un accès particulièrement précieux aux secrets de code, aux tokens d'API et aux environnements de déploiement. Pour les équipes crypto/Web3, où un seul développeur compromis peut donner accès à des portefeuilles multi-signatures ou à des smart contracts en production, les conséquences peuvent être catastrophiques. Ce groupe nord-coréen a déjà été impliqué dans le vol de centaines de millions de dollars en cryptomonnaies ces deux dernières années.
Ce qu'il faut retenir
- Mettre à jour VS Code vers la version 1.109 ou supérieure immédiatement si ce n'est pas encore fait.
- Ne jamais ouvrir un dépôt reçu d'un inconnu sans auditer d'abord le contenu de
.vscode/tasks.jsonet.vscode/launch.json. - Tout projet de test technique envoyé via un recrutement LinkedIn doit être traité comme potentiellement hostile, surtout dans le secteur crypto.
Comment vérifier si mon VS Code est protégé contre cette attaque ?
Assurez-vous d'utiliser VS Code version 1.109 ou supérieure. Dans cette version, l'option task.allowAutomaticTasks est désactivée par défaut, ce qui empêche l'exécution automatique des tâches à l'ouverture d'un dossier. Pour vérifier, allez dans les paramètres (Ctrl+,) et recherchez « allowAutomaticTasks » — la valeur doit être off. Inspectez également le dossier .vscode/ de tout projet externe avant de l'ouvrir.
Article suivant recommandé
CMA UK : décision imminente contre AWS et Microsoft →La CMA britannique rend cette semaine sa décision sur le statut SMS pour AWS et Microsoft. Des remèdes structurels menac
Points clés à retenir
- Contexte : La Corée du Nord piège les devs crypto via VS Code — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Articles connexes
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
- CERT
À lire également
Lectures recommandées
- CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC
- FortiGate : campagne active de vol de credentials ciblant santé et gouvernement
- Malaysia Airlines : le Groupe Quilin Exfiltre les Données
- DarkSword : un exploit kit iOS cible WebKit et le kernel Apple
- Gemini 3 : Google Bat Tous les Benchmarks LLM en 2026
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires (1)
Laisser un commentaire