Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm.
🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation.
🧪 Indicateurs techniques clés:
- Exécution dynamique via
eval()de données distantes - Payloads encodés en Base64 avec noms de variables obfusqués
- Utilisation de
child_process.execcréant des fichiers comme run.js - Canal C2 dissimulé via la blockchain Solana
🔍 Méthodologie d’analyse d’un .vsix:
- Renommer le fichier .vsix en .zip puis extraire le contenu
- Inspecter package.json pour des triggers d’activation et permissions inattendus
- Examiner les fichiers JavaScript pour repérer chaînes encodées, URLs et commandes d’exécution de processus
🛡️ Détection et signaux à surveiller à l’exécution:
- Chargement dynamique de code, appels réseau distants
- Manipulations du système de fichiers et création de fichiers suspects
- Mise en avant d’outils dédiés (ex: Kirin de Knostic) pour identifier et bloquer les extensions infectées lors de l’installation
Type d’article: analyse de menace visant à décrire les techniques, indicateurs et méthodes d’analyse/détection des extensions VS Code malveillantes liées à la campagne GlassWorm.
🧠 TTPs et IOCs détectés
TTPs
Exécution de code à distance via eval(), Obfuscation de code avec Base64, Utilisation de child_process.exec pour exécuter des scripts, Canal de commande et contrôle (C2) dissimulé via blockchain, Manipulation du système de fichiers
IOCs
Aucun hash, domaine ou IP spécifique n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.knostic.ai/blog/how-to-spot-malicious-vs-code-extensions