Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot.
• Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot.
• Détails techniques: Le chercheur a pré-généré un dictionnaire d’URL Camo valides pour caractères alphanumériques et symboles. Les prompts injectés instruisaient Copilot à « rendre » les données exfiltrées en art ASCII composé de ces URL d’images pré-signées. Les données étaient encodées en base16 puis exfiltrées via des requêtes d’images pointant vers des serveurs de l’attaquant renvoyant des pixels 1x1 transparents. Les prompts cachés s’exécutaient dans Copilot Chat lorsque la victime l’utilisait, avec ses droits.
• Vecteur d’attaque: Des commentaires invisibles dans des PR servaient à la prompt injection à distance; Copilot était amené à rechercher des mots-clés (ex. “AWS_KEY”) dans les dépôts privés et à transmettre les résultats via le mécanisme d’URL Camo. Cela offrait un contrôle complet des sorties de Copilot et la possibilité d’exfiltrer des codebases entières.
• Réponse et remédiation: Le problème a été signalé via HackerOne. GitHub a corrigé en désactivant totalement le rendu d’images dans Copilot Chat à partir d’août 2025. 🛡️
• IOCs et TTPs:
- IOCs: Aucun indicateur concret (domaines/IP/URL spécifiques) fourni.
- TTPs: Prompt injection via commentaires invisibles de PR; contournement CSP via Camo proxy; exfiltration par canaux latéraux via requêtes d’images 1x1; encodage base16; dictionnaire d’URL Camo pré-signées; abuse de contexte de l’assistant IA.
Type d’article: Publication de recherche visant à divulguer une vulnérabilité critique et ses mécanismes d’exploitation.
🔗 Source originale : https://www.legitsecurity.com/blog/camoleak-critical-github-copilot-vulnerability-leaks-private-source-code