Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025.

• Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur.

• Vecteur d’injection. L’injection est réalisée en insérant des commentaires cachés (« invisible comments ») dans la description d’une Pull Request. Ces prompts invisibles sont pris en compte par Copilot pour tout utilisateur consultant la page, sans que le contenu du commentaire soit visible, ce qui permet une prompt injection à distance impactant d’autres utilisateurs.

• Contournement CSP (« CamoLeak »). Pour dépasser la Content Security Policy stricte de GitHub, l’attaque détourne le proxy d’images Camo: l’attaquant pré-génère, via l’API de GitHub, un dictionnaire d’URL Camo signées correspondant à chaque lettre/symbole, héberge une image 1x1 transparente, puis demande à Copilot de « rendre » des données privées en ASCII art d’images. Le navigateur charge ces images via Camo, ce qui exfiltre les données encodées (avec un paramètre aléatoire pour éviter le cache). L’article évoque aussi une variante instructant Copilot d’encoder en base16 des contenus privés et d’apposer les données à une URL cliquable pour les récupérer.

• Démonstrations. L’auteur montre que Copilot peut suggérer un paquet malveillant (ex.: « Copilotevil ») et qu’il est possible de rechercher des secrets (p. ex. « AWS_KEY ») dans l’ensemble d’un codebase privé puis d’exfiltrer les résultats. Un PoC vidéo de 4 minutes illustre la chaîne d’attaque.

• Correctif. GitHub indique que la vulnérabilité a été corrigée au 14 août 2025 en désactivant le rendu des images dans Copilot Chat, interrompant le vecteur de fuite via Camo.

TTPs observés:

  • Prompt injection à distance via commentaires cachés de PR
  • Abus du contexte de Copilot Chat et de ses permissions alignées sur l’utilisateur
  • Contournement CSP par pré-génération d’URL Camo signées et rendu en ASCII art d’images (1x1 pixel)
  • Exfiltration de données encodées (base16) via chargement d’images/URLs et liens

IOCs:

  • Non fournis dans l’article (exemples mentionnés: camo.githubusercontent.com, serveur de l’attaquant non divulgué).

Type d’article: publication de recherche technique décrivant une vulnérabilité critique et sa chaîne d’exploitation, avec preuve de concept et mention du correctif.

🧠 TTPs et IOCs détectés

TTP

Prompt injection à distance via commentaires cachés de PR; Abus du contexte de Copilot Chat et de ses permissions alignées sur l’utilisateur; Contournement CSP par pré-génération d’URL Camo signées et rendu en ASCII art d’images (1x1 pixel); Exfiltration de données encodées (base16) via chargement d’images/URLs et liens

IOC

camo.githubusercontent.com

🔗 Source originale : https://www.legitsecurity.com/blog/camoleak-critical-github-copilot-vulnerability-leaks-private-source-code