Deux extensions malveillantes de VSCode Marketplace ont été découvertes déployant un ransomware en cours de développement, exposant des lacunes critiques dans le processus d’examen de Microsoft.
Les extensions, nommées » ahban.shiba » et » ahban.cychelloworld, » ont été téléchargés sept et huit fois, respectivement, avant d’être finalement retirés du magasin.
Il est à noter que les extensions ont été téléchargées sur le marché VSCode le 27 octobre 2024 (ahban.cychelloworld) et le 17 février 2025 (ahban.shiba), contournant les processus d’examen de la sécurité et restant sur le store de Microsoft pendant une longue période.
Le marché VSCode est une plate-forme en ligne où les développeurs peuvent trouver, installer et partager des extensions pour Visual Studio Code (VSCode). Il est largement utilisé par les développeurs de logiciels et Web, les scientifiques des données et les programmeurs.
ReversingLabs a découvert que les deux extensions contiennent une commande PowerShell qui télécharge et exécute un autre script PS qui agit comme un ransomware à partir d’un serveur distant hébergé sur Amazon AWS.
Le ransomware est clairement en développement ou en test car il ne crypte que les fichiers dans le C:\users\%username%\Desktop\testShiba dossier et ne touche aucun autre fichier.
Une fois le cryptage des fichiers terminé, le script affichera une alerte Windows indiquant: « Vos fichiers ont été cryptés. Payez 1 portefeuille Toshiba Shibecoin pour les récupérer. »Aucune note de rançon ou instruction supplémentaire n’est donnée comme les attaques normales de ransomware.
ReversingLabs indique que Microsoft a rapidement supprimé les deux extensions du marché VSCode après que les chercheurs les ont signalées.
Cependant, le chercheur en sécurité ExtensionTotal Italy Kruk a déclaré à Breachtrace que leur scanner automatisé avait détecté les extensions plus tôt et avait informé Microsoft il y a quelque temps, sans recevoir de réponse.
Kruk explique que ahban.cychelloworld n’était pas malveillant lors de son téléchargement initial. Il a ajouté le code du ransomware dans sa deuxième soumission, la version 0.0.2, qui a été acceptée sur le marché VSCode le 24 novembre 2024.
« Nous avons signalé ahban.cychelloworld à Microsoft le 25 novembre 2024, via un rapport automatique généré par notre scanner », a déclaré Kruk à Breachtrace .
« Il est possible qu’en raison du faible nombre d’installations de l’extension incriminée, Microsoft n’ait pas priorisé son examen. »
Depuis lors, l’ahban.l’extension cychelloworld a eu cinq autres versions, toutes contenant le code malveillant et toutes acceptées dans le magasin de Microsoft.
Le fait que les extensions téléchargeaient et exécutaient des scripts PowerShell distants et pouvaient rester non détectées pendant près de quatre mois démontre une lacune préoccupante dans le processus d’examen de Microsoft.
Bien que dans ce cas, Microsoft n’ait pas réagi pendant des mois, la société a récemment fait le contraire, supprimant trop rapidement les thèmes VSCode utilisés par 9 millions d’utilisateurs après avoir été signalé pour un code obscurci suspect.
Bien que les thèmes VSCode ne devraient pas utiliser de JavaScript obscurci, les extensions « Sans thème matériel » et « Sans icônes de thème matériel » se sont avérées par la suite ne pas être malveillantes.
Microsoft s’est excusé pour le retrait injustifié et l’interdiction de son éditeur et a déclaré qu’il mettrait à jour ses « scanners et son processus d’enquête pour réduire la probabilité d’un autre événement comme celui-ci. »