Extensions Malveillantes

Selon Datadog (billet technique signé par la chercheuse Tesnim Hamdouni), un nouvel outil open source, IDE‑SHEPHERD, renforce la sécurité de VS Code et Cursor en surveillant et bloquant en temps réel des comportements malveillants d’extensions et de workspaces, une surface d’attaque trop peu couverte par les protections classiques. 🛡️ IDE‑SHEPHERD s’intègre au runtime Node.js de l’extension host via require‑in‑the‑middle pour patcher précocement des modules critiques (child_process, http, https). Il offre deux couches complémentaires: une défense à l’exécution (interception de l’exécution de processus, surveillance des connexions réseau, blocage de tâches VS Code dangereuses) et une détection heuristique (analyse des métadonnées d’extensions: versions suspectes, activation wildcard, commandes cachées, signes d’obfuscation). Il introduit un modèle de confiance affiné, évaluant le comportement de chaque extension et ne relayant pas automatiquement la « Workspace Trust » de l’IDE. ...

Selon l’équipe Threat Research de Socket, deux extensions Chrome baptisées “Phantom Shuttle” et publiées par le même acteur (theknewone.com@gmail[.]com) se présentent comme un VPN/proxy commercial légitime, mais réalisent en réalité une interception de trafic via injection d’identifiants, un MITM ciblé et une exfiltration continue de données vers un C2 actif. • Le modèle commercial est trompeur: interface professionnelle, inscription, paiements Alipay/WeChat Pay et paliers VIP (¥9.9 à ¥95.9). Après paiement, le mode proxy “smarty” s’active automatiquement et redirige le trafic de 170+ domaines à haute valeur (développeurs, clouds, réseaux sociaux, sites adultes) via l’infrastructure de l’attaquant. Plus de 2 180 utilisateurs sont recensés et les extensions sont encore en ligne. ...

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

Selon Secure Annex (blog), l’éditeur a observé une reprise des attaques liées au malware Glassworm exploitant les marketplaces d’extensions de code pendant la période des fêtes. L’article détaille une campagne où des extensions populaires sont clonées, leurs compteurs de téléchargements manipulés, puis mises à jour après approbation avec du code malveillant. • Nature de l’attaque: clonage d’extensions populaires (ex. outils/frameworks comme Flutter, Tailwind, Vim, YAML, Svelte, React Native, Vue), manipulation des compteurs de téléchargements pour crédibiliser les faux paquets, et mise à jour post-approbation injectant des charges malveillantes. L’attaque profite de l’interface des éditeurs de code où la fausse extension peut apparaître à côté de la légitime, rendant le choix difficile et la compromission à un clic. ⚠️ ...

Selon l’article, la campagne de malware GlassWorm, qui avait précédemment impacté les marketplaces OpenVSX et Visual Studio Code, est de retour. GlassWorm revient : trois nouvelles extensions malveillantes ont été publiées sur OpenVSX et totalisent déjà plus de 10 000 téléchargements (ai-driven-dev.ai-driven-dev — 3 400 ; adhamu.history-in-sublime-merge — 4 000 ; yasuyuky.transient-emacs — 2 400). La campagne GlassWorm avait d’abord émergé via 12 extensions (35 800 téléchargements signalés, probablement gonflés par l’opérateur) et visait les marketplaces VS Code / OpenVSX. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm. 🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation. ...

Selon Koi Security, une campagne baptisée « GreedyBear » orchestre à grande échelle le vol d’actifs crypto via un écosystème unifié d’extensions Firefox malveillantes, d’exécutables Windows et de sites frauduleux, tous rattachés à une même infrastructure. Le rapport met en évidence une industrialisation des opérations et des artefacts de code suggérant un usage d’outils d’IA. • Méthode 1 – Extensions Firefox malveillantes (150+) 🦊 : des modules imitant des portefeuilles crypto (MetaMask, TronLink, Exodus, Rabby) sont publiés puis « armés » a posteriori via une technique dite Extension Hollowing. Les étapes décrites: 1) création de compte éditeur, 2) dépôt de 5–7 extensions génériques sans réelle fonctionnalité, 3) faux avis positifs pour bâtir la crédibilité, 4) changement de nom/icônes et injection de code malveillant en conservant l’historique d’avis. Les extensions capturent des identifiants de portefeuilles dans leurs popups et exfiltrent les données (et l’IP externe de la victime) vers un serveur du groupe. ...

Selon BleepingComputer, un acteur malveillant nommé WhiteCobra a ciblé les utilisateurs de VSCode, Cursor et Windsurf en publiant 24 extensions malveillantes sur la Visual Studio Marketplace et le registre Open VSX. Type d’attaque: diffusion d’extensions malveillantes via des marketplaces d’extensions. Cibles: utilisateurs de VSCode, Cursor et Windsurf. Canaux de distribution: Visual Studio Marketplace et Open VSX. Volume: 24 extensions identifiées comme malveillantes. Cette information met en lumière une campagne visant les écosystèmes d’extensions d’éditeurs de code populaires, en s’appuyant sur des plateformes de distribution officielles. ...

L’actualité provient d’un extrait publié sur le sitedomaintools.com Depuis février 2024, un acteur inconnu crée de manière continue des extensions malveillantes pour le navigateur Chrome. Ces extensions sont diffusées via des sites web qui se font passer pour des services légitimes, tels que des outils de productivité, des assistants de création ou d’analyse de médias, des services VPN, des plateformes de crypto-monnaie, et des services bancaires. Les extensions apparaissent généralement comme fonctionnelles, mais elles se connectent en réalité à des serveurs malveillants pour envoyer des données utilisateur, recevoir des commandes, et exécuter du code arbitraire. ...