Les attaquants Glassworm déploient 73 extensions VS Code malveillantes dans OpenVSX
Des chercheurs en sécurité ont découvert une attaque sophistiquée sur la chaîne d'approvisionnement le 27 avril 2026, ciblant le marché OpenVSX avec 73 extensions Visual Studio Code malveillantes. La campagne, baptisée Glassworm, représente une escalade significative des attaques contre les outils de développement et les écosystèmes open-source.
Les extensions malveillantes étaient conçues comme des packages "dormants" qui semblaient initialement légitimes et fonctionnels. Après que les développeurs les aient installées et utilisées pour des tâches de codage de routine, les extensions recevaient des mises à jour qui les transformaient en logiciels malveillants voleurs de données. Cette technique d'activation différée a aidé les extensions à échapper aux premières revues de sécurité et à gagner la confiance des développeurs avant de révéler leur nature malveillante.
Des chercheurs de plusieurs entreprises de sécurité ont identifié la campagne après avoir remarqué des modèles de trafic réseau suspects provenant des postes de travail des développeurs. Les extensions ciblaient des flux de travail de développement populaires, y compris le formatage de code, la mise en évidence de la syntaxe et les outils de gestion de projet. Chaque extension était soigneusement conçue pour imiter une fonctionnalité légitime tout en cachant des capacités de porte dérobée qui s'activaient uniquement après des déclencheurs de mise à jour spécifiques.
La méthodologie d'attaque représente une compréhension sophistiquée du comportement des développeurs et des mécanismes de sécurité des marchés. En publiant initialement des extensions bénignes et en attendant de déployer des charges utiles malveillantes via des mises à jour, les attaquants ont contourné les analyses de sécurité automatisées qui se concentrent généralement sur les soumissions initiales de packages. Le catalogue des vulnérabilités exploitées connues de la CISA a été mis à jour pour inclure des indicateurs liés à cette campagne.
Les administrateurs du marché OpenVSX ont été immédiatement informés et ont commencé à supprimer les extensions identifiées. Le marché a mis en œuvre des mesures de sécurité supplémentaires pour prévenir des attaques similaires, y compris une surveillance renforcée des mises à jour des extensions et des processus de révision plus stricts pour les packages qui demandent des autorisations sensibles après la publication initiale.
Postes de travail des développeurs et environnements d'entreprise à risque
La campagne Glassworm a principalement ciblé les développeurs de logiciels utilisant Visual Studio Code avec l'intégration du marché OpenVSX. Les utilisateurs affectés incluent des développeurs individuels, des équipes de développement dans des entreprises technologiques et des environnements d'entreprise où VS Code sert d'environnement de développement intégré principal. Les extensions ciblaient spécifiquement les postes de travail Windows, macOS et Linux exécutant les versions 1.85 à 1.88 de VS Code.
Les environnements d'entreprise font face à des risques particulièrement graves car les postes de travail des développeurs ont souvent des privilèges élevés et un accès à des bases de code sensibles, des dépôts internes et des systèmes de production. Les extensions malveillantes étaient conçues pour voler des identifiants stockés dans le navigateur, des clés SSH, des jetons API et du code source de projets actifs. Les organisations utilisant VS Code pour le développement cloud, les flux de travail DevOps et les pipelines d'intégration continue représentent des cibles de grande valeur pour les attaquants.
Les extensions collectaient des informations système, y compris les logiciels installés, les configurations réseau et les projets de développement actifs. Ces données de reconnaissance pourraient permettre des attaques de suivi contre l'infrastructure d'entreprise ou le vol de propriété intellectuelle. Les équipes de développement travaillant sur des logiciels propriétaires, des applications financières ou des projets gouvernementaux font face à des risques accrus de ce type de compromission de la chaîne d'approvisionnement.
Les chercheurs en sécurité estiment que des milliers de développeurs ont pu installer au moins une des extensions malveillantes avant leur suppression. Le nombre exact de systèmes affectés reste en cours d'investigation, mais les données de télémétrie suggèrent que les extensions ont été téléchargées plus de 50 000 fois à travers différentes communautés de développeurs et régions géographiques.
Réponse immédiate et étapes d'atténuation pour les équipes de développement
Les équipes de développement doivent immédiatement auditer leurs installations VS Code pour toute extension téléchargée depuis OpenVSX entre le 15 mars et le 27 avril 2026. Les organisations peuvent identifier les systèmes potentiellement compromis en vérifiant les journaux d'extensions VS Code et en examinant le trafic réseau pour des connexions sortantes suspectes vers des domaines de commande et de contrôle connus associés à la campagne Glassworm.
Les administrateurs système doivent mettre en œuvre une surveillance du réseau pour détecter les tentatives d'exfiltration de données depuis les postes de travail des développeurs. Les extensions malveillantes communiquaient avec des serveurs distants en utilisant des connexions HTTPS chiffrées vers des domaines imitant des services de développement légitimes. Les équipes de sécurité doivent bloquer l'accès aux domaines malveillants identifiés et surveiller les modèles similaires dans les journaux de trafic réseau.
Les développeurs affectés doivent immédiatement changer tous les identifiants stockés, y compris les jetons GitHub, les clés API des services cloud, les mots de passe des bases de données et les clés SSH qui ont pu être accessibles aux extensions malveillantes. Les organisations doivent faire tourner les identifiants des comptes de service et examiner les journaux d'accès pour toute activité non autorisée pendant la fenêtre de compromission potentielle.
L'analyse technique détaillée fournit des indicateurs spécifiques de compromission et des méthodes de détection pour les équipes de sécurité. Les utilisateurs de VS Code doivent mettre à jour vers la dernière version et activer les fonctionnalités de sécurité améliorées qui offrent une meilleure visibilité sur les autorisations des extensions et les activités réseau.
Les stratégies d'atténuation à long terme incluent la mise en œuvre de contrôles plus stricts sur les installations d'extensions dans les environnements d'entreprise, l'utilisation de listes d'autorisation d'applications pour les outils de développement et l'établissement de revues de sécurité régulières des extensions installées. Les organisations devraient également envisager d'utiliser des marchés d'extensions privés ou des dépôts d'extensions sélectionnés pour réduire l'exposition aux attaques de la chaîne d'approvisionnement ciblant les marchés publics.
