Les cybercriminels commencent à cibler le marché VSCode de Microsoft, téléchargeant trois extensions Visual Studio malveillantes que les développeurs Windows ont téléchargées 46 600 fois.
Selon Check Point, dont les analystes ont découvert les extensions malveillantes et les ont signalées à Microsoft, le logiciel malveillant a permis aux acteurs de la menace de voler des informations d’identification, des informations système et d’établir un shell distant sur la machine de la victime.
Les extensions ont été découvertes et signalées le 4 mai 2023, et elles ont ensuite été supprimées du marché VSCode le 14 mai 2023.
Cependant, tous les développeurs de logiciels utilisant encore les extensions malveillantes doivent les supprimer manuellement de leurs systèmes et exécuter une analyse complète pour détecter tout vestige de l’infection.
Cas malveillants sur le marché VSCode
Visual Studio Code (VSC) est un éditeur de code source publié par Microsoft et utilisé par un pourcentage important de développeurs de logiciels professionnels dans le monde.
Microsoft exploite également un marché d’extensions pour l’IDE appelé VSCode Marketplace, qui propose plus de 50 000 modules complémentaires qui étendent les fonctionnalités de l’application et offrent davantage d’options de personnalisation.
Les extensions malveillantes découvertes par les chercheurs de Check Point sont les suivantes :
‘Theme Darcula dark’ – Décrite comme « une tentative d’amélioration de la cohérence des couleurs Dracula sur VS Code », cette extension a été utilisée pour voler des informations de base sur le système du développeur, y compris le nom d’hôte, le système d’exploitation, la plate-forme CPU, la mémoire totale et des informations sur le CPU.
Bien que l’extension ne contienne pas d’autres activités malveillantes, il ne s’agit pas d’un comportement typique associé à un pack de thèmes.
Cette extension a été de loin la plus diffusée, téléchargée plus de 45 000 fois.
‘python-vscode’ – Cette extension a été téléchargée 1 384 fois malgré sa description vide et son nom de téléchargement de ‘testUseracc1111’, montrant qu’avoir un bon nom suffit à susciter un certain intérêt.
L’analyse de son code a montré qu’il s’agit d’un injecteur de shell C# capable d’exécuter du code ou des commandes sur la machine de la victime.
‘prettiest java’ – Basé sur le nom et la description de l’extension, il a probablement été créé pour imiter l’outil de formatage de code populaire ‘prettier-java’.
En réalité, il a volé des informations d’identification ou des jetons d’authentification enregistrés sur Discord et Discord Canary, Google Chrome, Opera, Brave Browser et Yandex Browser, qui ont ensuite été envoyés aux attaquants via un webhook Discord.
L’extension compte 278 installations.
Check Point a également trouvé plusieurs extensions suspectes, qui n’ont pas pu être qualifiées de malveillantes avec certitude, mais ont démontré un comportement dangereux, comme la récupération de code à partir de référentiels privés ou le téléchargement de fichiers.
Les référentiels de logiciels comportent des risques
Les référentiels de logiciels permettant les contributions des utilisateurs, tels que NPM et PyPi, se sont avérés à maintes reprises risqués à utiliser car ils sont devenus une cible populaire pour les acteurs de la menace.
Alors que VSCode Marketplace commence tout juste à être ciblé, AquaSec a démontré en janvier qu’il était assez facile de télécharger des extensions malveillantes sur VSCode Marketplace et a présenté des cas très suspects. Cependant, ils n’ont trouvé aucun logiciel malveillant.
Les cas découverts par Check Point démontrent que les acteurs de la menace tentent désormais activement d’infecter les développeurs Windows avec des soumissions malveillantes, exactement comme ils le font dans d’autres référentiels de logiciels tels que NPM et PyPI.
Il est conseillé aux utilisateurs de VSCode Marketplace et de tous les référentiels pris en charge par les utilisateurs de n’installer que des extensions d’éditeurs de confiance avec de nombreux téléchargements et évaluations de la communauté, de lire les avis des utilisateurs et de toujours inspecter le code source de l’extension avant de l’installer.