Attacks Blog

La documentation Mockito détournée

Certaines attaques sont d'une simplicité déconcertante. Mockito, un package open source populaire, contenait un lien malveillant dans sa documentation Github.

Sep 30, 2025 • 2 min read

Simon Wijckmans Founder & CEO

Couverture de l'article Mockito Docs Hijacked

Un lien d'installation malveillant a été découvert dans le wiki Github d'un projet open source populaire. Ce lien pointait vers une URL tierce (https://yip[.]su/2F5rd4) signalée par VirusTotal. Si votre projet utilise des wikis Github, verrouillez-les et restreignez les accès.

Ce qui s'est passé

En consultant la documentation de mockito (le framework de mock le plus populaire pour les tests unitaires écrits en Java), quelqu'un a remarqué que la section d'installation du Wiki renvoyait les utilisateurs vers une URL raccourcie (https://yip[.]su/2F5rd4). Ce lien n'avait aucun rapport avec le projet et est signalé comme malveillant sur VirusTotal. Il est resté sur la page d'accueil du Wiki pendant plus de 3 ans avant d'être supprimé.

Discussion sur l'incident : https://github.com/mockito/mockito/issues/3721

Diff du Wiki montrant l'insertion et la suppression : https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd

Lien court malveillant : https://yip[.]su/2F5rd4

Rapport VirusTotal : https://www.virustotal.com/gui/url/d05eafed450060b4cf8b044bcd7f74f0e1131d49cd2ea76b84de934e55390233

Preuves

Le diff du Wiki ci-dessous montre le HTML injecté qui affiche des boutons de téléchargement et inclut un lien Windows vers l'URL raccourcie malveillante :

[Download installer](http://goo-gl[.]me/kj2PI)
## Installation

<a href="https://yip[.]su/2F5rd4"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/winlogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://yip[.]su/2F5rd4">Mockito for Windows</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/maclogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Mac</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://www.rvmis[.]com/vendor/Tux.svg.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Linux</a>

Vue rendue : https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd?short_path=355883c

Le bouton Windows renvoie vers https://yip[.]su/2F5rd4.

D'autres projets populaires peuvent également être touchés. Il ne s'agit pas d'un incident isolé : tout dépôt public disposant d'un wiki ouvert est vulnérable à cette méthode d'attaque.

Pourquoi

Les wikis Github sont séparés du dépôt de code et disposent de leurs propres permissions sur les projets publics ouverts. Les modifications y échappent souvent au processus de PR et de revue de code, ce qui permet à n'importe qui d'y ajouter un lien malveillant sans que cela soit remarqué, tout en étant indexé par les moteurs de recherche.

Comment protéger votre projet open source

désactiver ou restreindre la modification du Wiki aux seuls collaborateurs sélectionnés
déplacer la documentation d'installation dans /docs (ou le README) et exiger des revues de PR

À retenir

La documentation fait partie de votre projet : traitez-la comme du vrai code et appliquez-lui le même processus de revue.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.