Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
Une opération d'espionnage originaire de Corée du Nord compromet des développeurs via des extensions VS Code
Selon des rapports divulgués sur les réseaux sociaux, des groupes associés à la Corée du Nord utilisent des techniques sophistiquées d’ingénierie sociale pour tromper les programmeurs afin qu’ils ouvrent des projets malveillants dans Visual Studio Code. Une fois que le développeur ouvre ces projets apparemment légitimes, le code caché s’exécute automatiquement, réalisant des actions nuisibles en arrière-plan sans le consentement de l’utilisateur.
Le mécanisme d’attaque : récupération de code et déploiement de portes dérobées
La stratégie d’attaque fonctionne par un processus bien défini. Tout d’abord, le code malveillant récupère des scripts JavaScript stockés sur la plateforme Vercel, une infrastructure populaire pour l’hébergement d’applications web. Ensuite, il établit des portes dérobées dans le système de la victime, permettant aux intrus d’obtenir un contrôle à distance sur la machine et d’exécuter des commandes arbitraires. Ce niveau d’accès est particulièrement dangereux pour les développeurs, car il peut compromettre non seulement leurs machines personnelles, mais aussi les projets et dépôts auxquels ils ont accès.
La faille de sécurité qui est restée inaperçue
L’aspect le plus préoccupant de cet incident concerne le calendrier de sa découverte. Le dépôt malveillant identifié sous le nom de ‘VSCode-Backdoor’ était accessible publiquement sur GitHub depuis plusieurs mois, accessible à toute personne effectuant une recherche superficielle. Bien qu’il ait été exposé durant cette période considérable, la communauté de la sécurité et le public en général n’ont pris conscience de la menace que récemment. Ce retard dans la reconnaissance met en évidence une faille critique dans les mécanismes de détection et la surveillance communautaire des plateformes de partage de code.
Implications pour les développeurs et les communautés open source
L’opération coordonnée par la Corée du Nord représente un tournant dans les tactiques d’attaque ciblant l’écosystème du développement logiciel. Contrairement à des menaces précédentes visant des systèmes spécifiques, cette campagne exploite la confiance intrinsèque liée aux environnements de développement collaboratifs. Les développeurs doivent adopter des pratiques de vérification plus rigoureuses avant d’exécuter du code provenant de sources inconnues, tandis que les communautés open source doivent renforcer leurs mécanismes de détection des artefacts malveillants.