HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2.

Faits saillants 🚨

  • Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456.
  • Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail.
  • Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan.
  • Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations.

Comportements malveillants observés

  • Vol de données:
    • Christine-devops1234.scraper exfiltre machine ID, noms de projets, contenus de fichiers, requêtes de recherche, prompts de chat, code sélectionné, images → 35.164.75.62:8080.
    • Kodease.fyp-23-s2-08 envoie le code utilisateur → 9691-34-83-7-143.ngrok-free.app.
    • EMM.emmpilot exfiltre des données de chat → 47.102.103.1:20018/run.
    • CodeRanger.ncsu-csc111 journalise ouvertures/sauvegardes/debug/terminal → 152.14.92.44:5000/log.
    • BX-Dev.Blackstone-DLP capture écran et presse-papiers → d1hnchthod2r9c.cloudfront.net.
    • VKTeam.ru exfiltre utilisateur/hostname/OS/arch/domaine (Windows) → 188.124.39.62.
  • Backdoors et exécution de code à distance (RCE):
    • teste123444212.teste123444212 maintient une connexion persistante → ec2-18-222-167-218.us-east-2.compute.amazonaws.com:443 (exécution arbitraire).
    • ToToRoManComp.diff-tool-vsc ouvre un shell distant vers 89.104.69.35:445 (payload Perl).
    • Deriv-AI.deriv-ai télécharge/exec le trojan « nightpaw » depuis 69.197.175.10:8000/nightpaw.
  • Autres activités malveillantes:
    • GuyNachshon.cxcx123 effectue une détection d’installation/connectivité via webhook.site.
    • « Git Fake Extension » incite à cliquer des boutons imitant Git pour exécuter des commandes PowerShell intimidantes (simulation de suppression de fichiers système).
    • sahil92552.CBE-456 exfiltre le code durant l’analyse → bd22-125-63-104-106.ngrok-free.app/analyze.

IOCs (extraits) 🧩

TTPs (techniques observées)

  • Compromission de la chaîne d’approvisionnement via extensions IDE.
  • Exfiltration HTTP/HTTPS (Ngrok, CloudFront, IPs dédiées, webhook.site).
  • Backdoor/RCE via connexions persistantes, reverse shell, payloads encodés (Perl), exécution de binaire téléchargé.
  • Collecte: code source, prompts, logs d’activité VSCode, captures d’écran, presse-papiers, infos hôte (OS, user, arch, domaine).
  • Déguisement d’UI (faux boutons Git) et détection d’installation.

Type d’article: analyse de menace visant à documenter des extensions VSCode malveillantes, leurs comportements et indicateurs techniques.

🧠 TTPs et IOCs détectés

TTP

Compromission de la chaîne d’approvisionnement via extensions IDE, Exfiltration HTTP/HTTPS (Ngrok, CloudFront, IPs dédiées, webhook.site), Backdoor/RCE via connexions persistantes, reverse shell, payloads encodés (Perl), exécution de binaire téléchargé, Collecte: code source, prompts, logs d’activité VSCode, captures d’écran, presse-papiers, infos hôte (OS, user, arch, domaine), Déguisement d’UI (faux boutons Git) et détection d’installation.

IOC

35.164.75.62:8080, https://9691-34-83-7-143.ngrok-free.app, https://webhook.site/daea041c-4c7b-4c56-97cf-1d6b2be569b5, https://bd22-125-63-104-106.ngrok-free.app/analyze, ec2-18-222-167-218.us-east-2.compute.amazonaws.com:443, 89.104.69.35:445, 69.197.175.10:8000/nightpaw, 47.102.103.1:20018/run, 152.14.92.44:5000/log, http://d1hnchthod2r9c.cloudfront.net/73912873891739/ad, 188.124.39.62:80

🔗 Source originale : https://helixguard.ai/#/blog/malicious-vscode-plugin-2025-10-28