Comptes GitHub piratés dans la campagne GlassWorm de VS Code

SÉVÉRITÉÉlevé

EXPLOITExploit Actif

CORRECTIFNon Disponible

ÉDITEURGitHub

AFFECTÉSGitHub repositories, Visual St...

CATÉGORIECyberattaques

Points Clés

Menace : Prise de contrôle de compte GitHub utilisant des identifiants volés par GlassWorm
Impact : Des centaines de comptes de développeurs compromis
Cible : Dépôts Python et utilisateurs de VS Code
Campagne : Opération ForceMemo exploitant la précédente violation GlassWorm

La campagne ForceMemo exploite le vol d'identifiants GlassWorm

Les attaquants ont compromis des centaines de comptes GitHub le 16 mars 2026, en utilisant des identifiants volés lors de la précédente campagne de malware GlassWorm sur VS Code. La violation a spécifiquement ciblé les dépôts Python, les hackers obtenant un accès non autorisé aux comptes de développeurs grâce à des jetons d'authentification précédemment récoltés.

L'attaque représente une phase d'exploitation secondaire suite à l'infection initiale de GlassWorm qui ciblait les utilisateurs de Visual Studio Code. Les chercheurs en sécurité ont identifié la campagne sous le nom de "ForceMemo" en raison d'indicateurs distinctifs trouvés dans les dépôts compromis.

Développeurs Python et utilisateurs de VS Code à risque

La violation affecte principalement les développeurs Python qui ont été précédemment infectés par le malware GlassWorm via des extensions VS Code compromises. Les utilisateurs de GitHub qui ont stocké des identifiants d'authentification localement sur des systèmes infectés courent des risques de prise de contrôle de compte.

Les organisations s'appuyant sur des dépôts Python affectés peuvent rencontrer des problèmes de sécurité de la chaîne d'approvisionnement si du code malveillant a été injecté pendant la fenêtre de violation.

La récolte d'identifiants conduit à la compromission de dépôts

Le malware GlassWorm a initialement infecté les postes de travail des développeurs via des extensions VS Code malveillantes, volant des jetons GitHub stockés et des identifiants d'authentification. Les attaquants ont ensuite utilisé ces identifiants récoltés pour accéder à des comptes de développeurs légitimes et modifier des dépôts de packages Python.

Les utilisateurs de GitHub devraient immédiatement faire tourner tous les jetons d'authentification et examiner l'activité récente des dépôts pour détecter des modifications non autorisées. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils sur la sécurisation des environnements de développement contre des attaques similaires.

Questions Fréquentes

Comment les comptes GitHub ont-ils été compromis lors de l'attaque GlassWorm ?+

Les attaquants ont utilisé des identifiants volés par le malware GlassWorm qui a infecté les installations de VS Code. Le malware a récolté des jetons d'authentification GitHub à partir de postes de travail de développeurs infectés, qui ont ensuite été utilisés pour accéder à des comptes légitimes.

Que doivent faire les développeurs s'ils sont affectés par la violation de GitHub ?+

Les développeurs doivent immédiatement faire tourner tous les jetons d'authentification GitHub et les jetons d'accès personnel. Ils doivent également examiner l'activité récente des dépôts pour détecter des modifications non autorisées et analyser leurs installations de VS Code pour des extensions malveillantes.

Quels dépôts ont été ciblés dans la campagne ForceMemo ?+

La campagne a spécifiquement ciblé les dépôts Python hébergés sur GitHub. Les attaquants se sont concentrés sur la compromission des dépôts de paquets Python qui pourraient être utilisés pour des attaques de chaîne d'approvisionnement contre les utilisateurs en aval.

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.