Extensions Malveillantes dans le Marketplace de Visual Studio Code
récemment, des rapports ont révélé une série d’extensions malveillantes dans le marketplace de Visual Studio Code, ou VSCode, ciblant les développeurs de logiciels et les passionnés de crypto-monnaies avec des attaques sophistiquées destinées à compromettre leurs systèmes et voler des données sensibles. VSCode est un éditeur de code populaire utilisé par des millions de développeurs dans le monde.
Le chercheur en sécurité Amit Assaraf a récemment révélé comment les attaquants exploitent le marketplace de VSCode. Assaraf a découvert des extensions qui semblaient offrir des fonctionnalités précieuses, mais qui étaient en fait des chevaux de Troie pour des logiciels malveillants. Une extension, se faisant passer pour une intégration officielle de Zoom, semblait légitime, vantant de nombreuses installations et des critiques positives. Cependant, lors de l’installation, l’extension a téléchargé un script malveillant depuis un serveur russe, exécutant des commandes non autorisées sur les machines des victimes.
Les attaquants avaient soigneusement conçu leurs extensions pour paraître authentiques. Ils ont utilisé de fausses critiques, lié à des dépôts réputés et gonflé les téléchargements pour rendre les outils crédibles, des pratiques qui peuvent endormir même les développeurs expérimentés dans un faux sentiment de sécurité.
Crypto dans le Viseur de VSCode
Des investigations ultérieures ont révélé que cette activité malveillante fait partie d’une campagne plus large ciblant les développeurs travaillant dans les environnements de blockchain et de crypto-monnaies. Des rapports de BleepingComputer ont noté que certaines de ces extensions prétendaient soutenir le développement Ethereum ou des outils blockchain. Voici quelques-unes qui ont été soumises au marketplace de VSCode :
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoCommunications.Zoom
- ZoomINC.Zoom-Workplace
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom (trois versions)
Ajoutant à ces découvertes, les chercheurs de ReversingLabs ont découvert comment la campagne de VSCode chevauche des activités malveillantes similaires dans le référentiel de packages npm. Un package npm est un morceau de code réutilisable qui peut être facilement partagé, distribué et intégré dans des projets logiciels. Ces packages sont utilisés pour construire des applications plus rapidement en réutilisant des fonctionnalités communes, plutôt que de tout écrire de zéro.
Dans leur rapport, ReversingLabs a expliqué comment les attaquants utilisent souvent plusieurs plateformes pour propager leurs logiciels malveillants, créant une surface d’attaque plus étendue qui cible les développeurs à travers les écosystèmes.
Source : www.forbes.com