Deux extensions malveillantes sur le marché Visual Studio Code de Microsoft infectent les machines des développeurs avec des logiciels malveillants voleurs d’informations qui peuvent prendre des captures d’écran, voler des informations d’identification, des portefeuilles cryptographiques et détourner des sessions de navigateur.
La place de marché héberge des extensions pour le populaire environnement de développement intégré (IDE) VSCode afin d’étendre les fonctionnalités ou d’ajouter des options de personnalisation.
Les deux extensions malveillantes, appelées Bitcoin Black et Codo AI, se font passer pour un thème de couleur et un assistant d’IA, respectivement, et ont été publiées sous le nom de développeur ‘BigBlack.’
Au moment de la rédaction de cet article, Codo AI était toujours présent sur le marché, même s’il comptait moins de 30 téléchargements. Le compteur de Bitcoin Black n’a montré qu’une seule installation.
Selon Koi Security, l’extension malveillante Bitcoin Black comporte un événement d’activation » * » qui s’exécute à chaque action VSCode. Il peut également exécuter du code PowerShell, ce dont un thème n’a pas besoin et devrait être un drapeau rouge.
Dans les anciennes versions, Bitcoin Black utilisait un script PowerShell pour télécharger une charge utile archivée protégée par mot de passe, ce qui créait une fenêtre PowerShell visible et aurait pu avertir l’utilisateur.
Dans les versions plus récentes, cependant, le processus est passé à un script batch (bat.sh) qui appelle ‘curl’ pour télécharger un fichier DLL et un exécutable, et l’activité se produit avec la fenêtre masquée.
Idan Dardikman de Koi Security dit que Codo AI dispose d’une fonctionnalité d’assistance au code via ChatGPT ou DeepSeek, mais comprend également une section malveillante.
Les deux extensions fournissent un exécutable légitime de l’outil de capture d’écran Lightshot et un fichier DLL malveillant qui est chargé via la technique de détournement de DLL pour déployer l’infostealer sous le nom runtime.exé.
La DLL malveillante est signalée comme une menace par 29 des 72 moteurs antivirus sur le total des virus, note le chercheur dans un rapport publié aujourd’hui.
Le logiciel malveillant crée un répertoire dans ‘%APPDATA%\ Local \ ‘ et crée un répertoire appelé Evelyn pour stocker les données volées: détails sur les processus en cours d’exécution, contenu du presse-papiers, informations d’identification WiFi, informations système, captures d’écran, liste des programmes installés et processus en cours d’exécution.
Pour voler des cookies et détourner des sessions utilisateur, le logiciel malveillant lance les navigateurs Chrome et Edge en mode sans tête afin de pouvoir récupérer les cookies stockés et détourner les sessions utilisateur.
Le malware vole également des portefeuilles de crypto-monnaie comme Phantom, Metamask, Exodus. Il recherche les mots de passe et les informations d’identification
Breachtrace a contacté Microsoft au sujet de la présence des extensions sur le marché, mais un commentaire n’était pas immédiatement disponible.
Des extensions malveillantes VS Code ont été poussées vers des plates-formes fournissant des extensions avec des IDE VS Code, telles que OpenVSX et Visual Studio Code, l’une des campagnes les plus notables étant Glassworm.
Les développeurs peuvent minimiser les risques d’extensions VSCode malveillantes en installant des projets uniquement à partir d’éditeurs réputés.
Mise à jour 12/9 – Un porte-parole de Microsoft a maintenant confirmé à Breachtrace que les deux extensions malveillantes ont été supprimées du marché VSCode.