Selon Koi Security (billet de recherche), le groupe TigerJack a infiltré des places de marché d’extensions pour développeurs avec au moins 11 extensions malveillantes, diffusées sous plusieurs identités d’éditeur. La campagne a compromis plus de 17 000 développeurs et met en lumière des failles de sécurité dans un écosystème fragmenté où certaines extensions restent opérationnelles malgré leur retrait du marketplace officiel de Microsoft.
Le mode opératoire combine plusieurs capacités offensives majeures:
- Exfiltration de code via des “document change listeners” qui envoient du code C++ vers un serveur de commande après un délai de 500 ms.
- Cryptominage intégré via CoinIMP, avec des identifiants API en dur.
- Backdoor RCE effectuant un fetch puis
eval()de JavaScript depuis des serveurs contrôlés par l’attaquant toutes les 20 minutes. ⏱️
Pour la persistance, les extensions abusent du trigger onStartupFinished et ciblent des types de fichiers spécifiques (C++, HTTP, Python) afin de réduire la détection. La campagne a employé une tactique de cheval de Troie: publier d’abord des extensions bénignes pour gagner en confiance, puis pousser des mises à jour malveillantes. 🕵️♂️
Bien que supprimées du Microsoft Marketplace, ces extensions demeurent actives sur OpenVSX et ont été republiées, soulignant des lacunes critiques dans la coordination et la sécurité entre marketplaces.
IOCs:
- Domaine d’exfiltration: ab498.pythonanywhere[.]com
- Identités d’éditeur utilisées: ab-498, 498, 498-00
TTPs:
- Écouteurs de modifications de documents avec exfiltration différée (500 ms)
- Cryptominage CoinIMP avec credentials codés en dur
- Backdoor RCE par récupération +
eval()de JavaScript toutes les 20 minutes - Persistance via onStartupFinished
- Ciblage de fichiers C++, HTTP, Python pour limiter la détection
- Tactique de cheval de Troie (extensions bénignes puis mises à jour malveillantes)
- Multiplication des identités d’éditeur et présence sur OpenVSX
Type d’article: analyse de menace visant à documenter une campagne d’extensions malveillantes ciblant les développeurs et les failles d’écosystème associées.
🧠 TTPs et IOCs détectés
TTPs
[‘Exfiltration de code via des document change listeners avec exfiltration différée (500 ms)’, ‘Cryptominage CoinIMP avec credentials codés en dur’, ‘Backdoor RCE par récupération + eval() de JavaScript toutes les 20 minutes’, ‘Persistance via onStartupFinished’, ‘Ciblage de fichiers C++, HTTP, Python pour limiter la détection’, ‘Tactique de cheval de Troie (extensions bénignes puis mises à jour malveillantes)’, ‘Multiplication des identités d’éditeur et présence sur OpenVSX’]
IOCs
[‘Domaine d’exfiltration: ab498.pythonanywhere[.]com’, ‘Identités d’éditeur utilisées: ab-498, 498, 498-00’]
🔗 Source originale : https://www.koi.security/blog/tiger-jack-malicious-vscode-extensions-stealing-code