🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposĂ©es

Les chercheurs de Wiz Research ont dĂ©couvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant Ă  la fois le VSCode Marketplace et Open VSX, une plateforme utilisĂ©e par des forks alimentĂ©s par l’IA tels que Cursor et Windsurf.
Plus de 550 secrets valides ont Ă©tĂ© trouvĂ©s dans 500 extensions publiĂ©es par des centaines d’éditeurs.
Parmi les fuites, plus d’une centaine concernaient des jetons d’accùs capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes.

⚠ Un risque majeur d’empoisonnement des mises Ă  jour

VSCode met automatiquement à jour les extensions installées.
Les chercheurs ont dĂ©couvert que des tokens d’accĂšs au VSCode Marketplace et Ă  Open VSX (PAT) Ă©taient inclus dans des fichiers internes, permettant Ă  un attaquant de publier une version compromise d’une extension lĂ©gitime.

  • 100+ jetons VSCode Marketplace exposaient environ 85 000 installations.
  • 30+ jetons Open VSX concernaient plus de 100 000 installations.
    MĂȘme des thĂšmes VSCode, pourtant considĂ©rĂ©s comme inoffensifs, contenaient ces secrets sensibles.

Les donnĂ©es exposĂ©es comprenaient des clĂ©s d’API AI (OpenAI, Gemini, Anthropic, HuggingFace
), des identifiants cloud et dĂ©veloppeur (AWS, GitHub, Stripe, GCP), et des secrets de bases de donnĂ©es (Postgres, Supabase, MongoDB).

đŸ§© Causes identifiĂ©es : erreurs de packaging et fichiers cachĂ©s

Les fuites provenaient principalement de :

  • fichiers cachĂ©s intĂ©grĂ©s au package (.env, .git, etc.),
  • configurations d’IA (config.json, mcp.json, .cursorrules),
  • fichiers de build ou de documentation (package.json, README.md).

Certaines extensions internes ou d’entreprise, censĂ©es rester privĂ©es, avaient Ă©tĂ© publiĂ©es publiquement, augmentant le risque d’attaques ciblĂ©es.
Wiz mentionne notamment une extension exposant un jeton appartenant à une entreprise chinoise valorisée à 30 milliards de dollars.

🧰 Collaboration avec Microsoft et mesures correctives

AprÚs signalement via le Microsoft Security Response Center (MSRC) en mars 2025, Wiz et Microsoft ont collaboré pendant plusieurs mois :

  • RĂ©vocation immĂ©diate de tous les tokens exposĂ©s.
  • Notification aux Ă©diteurs concernĂ©s et assistance pour la publication de versions corrigĂ©es.
  • Blocage automatique des extensions contenant des secrets : Microsoft a ajoutĂ© un scanning de secrets avant publication.
  • Analyse complĂšte de toutes les extensions existantes sur la Marketplace.
  • Mise Ă  jour d’Open VSX, dont les tokens porteront dĂ©sormais le prĂ©fixe ovsxp_ pour faciliter leur dĂ©tection.

Ces nouvelles mesures ont été détaillées dans les billets officiels Security and Trust in Visual Studio Marketplace et Secret Detection for Extensions.

🧭 Recommandations pour les utilisateurs et entreprises

Pour les utilisateurs VSCode :

  • Limiter le nombre d’extensions installĂ©es.
  • VĂ©rifier la rĂ©putation et la frĂ©quence de mise Ă  jour des extensions.
  • RĂ©Ă©valuer l’activation des mises Ă  jour automatiques, qui peuvent propager du code malveillant si un Ă©diteur est compromis.

Pour les équipes sécurité :

  • Maintenir un inventaire centralisĂ© des extensions utilisĂ©es.
  • Mettre en place une liste blanche d’extensions autorisĂ©es.
  • PrĂ©fĂ©rer le VSCode Marketplace officiel, plus strict que Open VSX.

🧠 Enseignements

Cette dĂ©couverte illustre les risques persistants de la chaĂźne d’approvisionnement logicielle et des Ă©cosystĂšmes d’extensions, en particulier dans les outils de dĂ©veloppement.
Les secrets liĂ©s Ă  l’IA (clĂ©s API, tokens) deviennent une cible majeure.
La rĂ©ponse coordonnĂ©e de Microsoft et Wiz dĂ©montre l’importance d’une dĂ©tection proactive des secrets et de politiques d’expiration automatique des clĂ©s pour rĂ©duire la fenĂȘtre d’exploitation.

Type d’article : publication de recherche visant Ă  exposer la dĂ©couverte, son impact et la correction appliquĂ©e.

🔗 Source originale : https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces

🖮 Archive : https://web.archive.org/web/20251016070137/https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces