🗓️ Contexte

Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération.

🎯 Stratégie des extensions dormantes (Sleeper Extensions)

Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent :

  • Création de comptes GitHub nouvellement créés pour publier des clones d’outils populaires
  • Imitation visuelle précise (icône, description) d’extensions légitimes, comme un faux Turkish Language Pack pour Visual Studio Code
  • Remplacement du seul nom d’éditeur pour tromper les utilisateurs
  • Attente avant de pousser une mise à jour livrant le malware

6 des 73 extensions ont déjà été activées pour délivrer des payloads.

⚙️ Mécanismes de livraison évoluant

Les nouvelles variantes utilisent deux méthodes principales :

  1. Binaires natifs (.node) : fichiers cachés dans le code de l’extension ; un fichier JavaScript simple exécute le binaire qui contient des URLs embarquées téléchargeant des fichiers .vsix malveillants pour VS Code et Cursor.
  2. JavaScript obfusqué : logique malveillante décodée à l’exécution, récupérant un payload .vsix depuis une release GitHub, installé via des chemins en ligne de commande.

Le code malveillant n’est plus directement visible dans le code source de l’extension, augmentant la capacité d’évasion des scans de sécurité.

🔍 Indicateurs de compromission

  • SHA256 binaire installateur natif : 1b62b7c2ed7cc296ce821f977ef7b22bae59ef1dcdb9a34ae19467ee39bcf168
  • SHA256 payload VSIX téléchargé : 97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfd
  • Hébergement GitHub malveillant : github.com/SquadMagistrate10/wnxtgkih
  • Extensions malveillantes confirmées : outsidestormcommand, monochromator-theme, boulderzitunnel, vscode-buddies

📰 Nature de l’article

Il s’agit d’un article de presse spécialisée s’appuyant sur les recherches de la Socket Research Team, visant à alerter les développeurs et équipes de sécurité sur une campagne active de supply chain ciblant les environnements de développement.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • GlassWorm (unknown) —

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1204.002 — User Execution: Malicious File (Execution)

IOC

  • Domaines : github.com/SquadMagistrate10/wnxtgkihVT · URLhaus · ThreatFox
  • SHA256 : 1b62b7c2ed7cc296ce821f977ef7b22bae59ef1dcdb9a34ae19467ee39bcf168VT · MalwareBazaar
  • SHA256 : 97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfdVT · MalwareBazaar
  • Fichiers : outsidestormcommand
  • Fichiers : monochromator-theme
  • Fichiers : boulderzitunnel
  • Fichiers : vscode-buddies

Malware / Outils

  • GlassWorm loader (loader)

🟢 Indice de vérification factuelle : 92/100 (haute)

  • ✅ cyberaccord.com — source reconnue (Rösti community) (20pts)
  • ✅ 3478 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 7 IOCs dont des hashes (15pts)
  • ✅ 2/3 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : GlassWorm (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 1b62b7c2ed7cc296… (sha256) → VT (22/76 détections)
  • 97c275e3406ad657… (sha256) → VT (18/76 détections)

🔗 Source originale : https://www.cyberaccord.com/73-open-vsx-sleeper-extensions-linked-to-glassworm-activate-new-malware-campaign/