La menace ne date pas d’hier, mais elle a le don de se réinventer au fil du temps.
Les « Contagious Interviews » ou « entretiens contagieux » font partie de l’arsenal de la cyber‑machine nord‑coréenne. Le principe est simple : de fausses offres d’emplois alléchantes, de vrais développeurs, et au cours du processus de recrutement, l’insertion d’un malware dans la machine de la victime.
Pour piéger efficacement leurs cibles, les hackers nord-coréens ont pris l’habitude de détourner les fonctionnalités d’outils parfaitement légitimes.
C’est une nouvelle fois le cas dans cette nouvelle campagne mise en lumière le 20 janvier 2026 par les équipes de Jamf Threat Labs, où Visual Studio Code a été transformé en vecteurs d’attaque à part entière.
La confiance des dossiers sur Visual Studio
Le cœur de l’attaque repose sur une fonctionnalité bien précise de l’éditeur de texte VS Code : la « confiance des dossiers ».
Concrètement, lorsqu’un projet est ouvert, l’outil demande si l’on fait confiance au contenu du dépôt. En cas de réponse positive, certains fichiers de configuration sont exécutés ou pris en compte automatiquement, notamment ceux qui définissent des tâches ou scripts.
Dans cette nouvelle vague d’attaques, les pirates détournent le fichier « .vscode/tasks.json », normalement utilisé pour définir des tâches légitimes comme des tests, et parviennent ainsi à exécuter en arrière‑plan des commandes dès que le dépôt est marqué comme « fiable ».
Pour les victimes travaillant sur macOS, ce fichier déclenche une commande qui télécharge discrètement un JavaScript depuis Internet et le passe directement à Node.js, ce qui permet au code malveillant de continuer à tourner même après la fermeture de VS Code, sans messages visibles pour la victime.
Le script publié par les équipes de recherche est rempli de fonctions inutiles, et de code redondant pour masquer son véritable rôle de backdoor aux yeux des développeurs qui le téléchargent.
Une fois analysé, on découvre qu’il offre trois capacités clés : exécuter à la demande du JavaScript envoyé par les attaquants donc, puis collecter un fingerprint de la machine (nom d’hôte, MAC, OS, IP publique) et communiquer en continu avec ses concepteurs via un serveur de commande.
Le serveur C2 peut alors renvoyer du code à exécuter quasi en temps réel, voire pousser des scripts secondaires qui reproduisent le même schéma.
Parfois recruteurs, parfois employés
Au‑delà des détails techniques, ce type d’attaque repose plus largement sur deux leviers classiques d’ingénierie sociale exploités par les hackers : la baisse de vigilance et la confiance des développeurs en contexte d’entretien, d’une part, et l’usage d’outils parfaitement légitimes, d’autre part.
Pour rappel, le secteur du recrutement est un terrain central de la stratégie cyberoffensive nord‑coréenne. Si, dans ce cas précis, les pirates endossent le rôle de recruteurs, ils jouent aussi fréquemment celui de développeurs en quête d’emploi.
L’objectif est alors d’infiltrer des entreprises occidentales, parfois en s’appuyant sur des complices locaux.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !