Source: Nextron Systems (blog, 28 nov. 2025). L’éditeur décrit son pipeline de scan d’artefacts à grande échelle (Docker Hub, PyPI, NPM, extensions Chrome/VS Code) basé sur THOR Thunderstorm pour détecter scripts obfusqués, charges encodées et implants.
Découverte clé ⚠️: une extension VS Code malveillante baptisée “Icon Theme: Material” publiée par “IconKiefApp” (slug Marketplace: Iconkieftwo.icon-theme-materiall) mime l’extension légitime de Philipp Kief. La version 5.29.1 publiée le 28/11/2025 à 11:34 contient deux implants Rust (un PE Windows et un Mach-O macOS) situés dans icon-theme-materiall.5.29.1/extension/dist/extension/desktop/. Plus de 16 000 installations ont été observées. La 5.29.0 ne contenait pas ces implants. L’extension a été signalée à Microsoft et était encore en ligne le 28/11 à 14:00 CET.
Attribution/recoupements: le binaire Mach-O contient une chaîne de chemin utilisateur dans le style des échantillons GlassWorm signalés par Koi (l’échantillon VT référencé présente la même structure), recoupement également visible sur le PE.
IOCs publiés 🧪:
- Extension VS Code malveillante:
0878f3c59755ffaf0b639c1b2f6e8fed552724a50eb2878c3ba21cf8eb4e2ab6(archiveicon-theme-materiall.5.29.1.zip) - Implants Rust:
- Windows PE (
os.node):6ebeb188f3cc3b647c4460c0b8e41b75d057747c662f4cd7912d77deaccfd2f2 - macOS Mach-O (
darwin.node):fb07743d139f72fca4616b01308f1f705f02fda72988027bc68e9316655eadda
- Windows PE (
- Lien extension malveillante: https://marketplace.visualstudio.com/items?itemName=Iconkieftwo.icon-theme-materiall
- Lien extension légitime: https://marketplace.visualstudio.com/items?itemName=PKief.material-icon-theme
- Échantillon lié GlassWorm (VT): https://www.virustotal.com/gui/file/eafeccc6925130db1ebc5150b8922bf3371ab94dbbc2d600d9cf7cd6849b056e
- Signatures YARA déclenchées: SUSP_Implant_Indicators_Jul24_1, SUSP_HKTL_Gen_Pattern_Feb25_2
TTPs observées 🧩:
- Abus de chaîne d’approvisionnement via la Marketplace VS Code (extension imitatrice)
- Implants Rust multi-plateformes (Windows/macOS)
- Overlaps GlassWorm (structures/chaînes similaires)
- D’après l’analyse de suivi (29/11/2025): C2 via portefeuille Solana, livraison chiffrée de charges, canal de repli via Google Calendar
Statut et finalité: Microsoft a été alerté; Nextron a publié ensuite une analyse technique détaillée des implants (29/11/2025). Article de type analyse de menace visant à documenter la découverte, les IOCs et les recoupements techniques.
🧠 TTPs et IOCs détectés
TTPs
[‘Abus de chaîne d’approvisionnement via la Marketplace VS Code (extension imitatrice)’, ‘Implants Rust multi-plateformes (Windows/macOS)’, ‘Overlaps GlassWorm (structures/chaînes similaires)’, ‘C2 via portefeuille Solana’, ‘Livraison chiffrée de charges’, ‘Canal de repli via Google Calendar’]
IOCs
[‘0878f3c59755ffaf0b639c1b2f6e8fed552724a50eb2878c3ba21cf8eb4e2ab6’, ‘6ebeb188f3cc3b647c4460c0b8e41b75d057747c662f4cd7912d77deaccfd2f2’, ‘fb07743d139f72fca4616b01308f1f705f02fda72988027bc68e9316655eadda’, ‘https://marketplace.visualstudio.com/items?itemName=Iconkieftwo.icon-theme-materiall’, ‘https://marketplace.visualstudio.com/items?itemName=PKief.material-icon-theme’, ‘https://www.virustotal.com/gui/file/eafeccc6925130db1ebc5150b8922bf3371ab94dbbc2d600d9cf7cd6849b056e’]
🔗 Source originale : https://www.nextron-systems.com/2025/11/28/malicious-vs-code-extension-impersonating-material-icon-theme-found-in-marketplace/