Extensions Malveillantes

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

Selon Secure Annex (blog), l’éditeur a observé une reprise des attaques liées au malware Glassworm exploitant les marketplaces d’extensions de code pendant la période des fêtes. L’article détaille une campagne où des extensions populaires sont clonées, leurs compteurs de téléchargements manipulés, puis mises à jour après approbation avec du code malveillant. • Nature de l’attaque: clonage d’extensions populaires (ex. outils/frameworks comme Flutter, Tailwind, Vim, YAML, Svelte, React Native, Vue), manipulation des compteurs de téléchargements pour crédibiliser les faux paquets, et mise à jour post-approbation injectant des charges malveillantes. L’attaque profite de l’interface des éditeurs de code où la fausse extension peut apparaître à côté de la légitime, rendant le choix difficile et la compromission à un clic. ⚠️ ...

Selon l’article, la campagne de malware GlassWorm, qui avait précédemment impacté les marketplaces OpenVSX et Visual Studio Code, est de retour. GlassWorm revient : trois nouvelles extensions malveillantes ont été publiées sur OpenVSX et totalisent déjà plus de 10 000 téléchargements (ai-driven-dev.ai-driven-dev — 3 400 ; adhamu.history-in-sublime-merge — 4 000 ; yasuyuky.transient-emacs — 2 400). La campagne GlassWorm avait d’abord émergé via 12 extensions (35 800 téléchargements signalés, probablement gonflés par l’opérateur) et visait les marketplaces VS Code / OpenVSX. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm. 🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation. ...

Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA. • Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe. ...

Selon BleepingComputer, un acteur malveillant nommé WhiteCobra a ciblé les utilisateurs de VSCode, Cursor et Windsurf en publiant 24 extensions malveillantes sur la Visual Studio Marketplace et le registre Open VSX. Type d’attaque: diffusion d’extensions malveillantes via des marketplaces d’extensions. Cibles: utilisateurs de VSCode, Cursor et Windsurf. Canaux de distribution: Visual Studio Marketplace et Open VSX. Volume: 24 extensions identifiées comme malveillantes. Cette information met en lumière une campagne visant les écosystèmes d’extensions d’éditeurs de code populaires, en s’appuyant sur des plateformes de distribution officielles. ...

L’actualité provient d’un extrait publié sur le sitedomaintools.com Depuis février 2024, un acteur inconnu crée de manière continue des extensions malveillantes pour le navigateur Chrome. Ces extensions sont diffusées via des sites web qui se font passer pour des services légitimes, tels que des outils de productivité, des assistants de création ou d’analyse de médias, des services VPN, des plateformes de crypto-monnaie, et des services bancaires. Les extensions apparaissent généralement comme fonctionnelles, mais elles se connectent en réalité à des serveurs malveillants pour envoyer des données utilisateur, recevoir des commandes, et exécuter du code arbitraire. ...

Un ensemble de 57 extensions Chrome, utilisées par environ 6 millions d’internautes, a été découvert avec des capacités très risquées. Ces extensions sont capables de surveiller le comportement de navigation des utilisateurs, d’accéder aux cookies des domaines et potentiellement d’exécuter des scripts distants. Ces actions peuvent entraîner des violations de la confidentialité des utilisateurs et potentiellement permettre aux acteurs malveillants d’accéder à des informations sensibles. Il n’est pas clair qui est derrière ces extensions malveillantes, mais elles représentent un risque significatif pour la cybersécurité. Les utilisateurs de Chrome sont encouragés à vérifier et à supprimer toute extension suspecte. Google a été informé de ces extensions et travaille probablement à leur suppression du Chrome Web Store. ...