Une campagne a été récemment détectée qui a profité de deux suppléments malveillants publiés dans le Visual Studio Code Marketplace et qui, ensemble, ont été installés environ 1,5 million de fois. Tous deux ont été présentés comme des assistants de programmation axés sur l'intelligence artificielle et ont exécuté la fonction qu'ils avaient promise en apparence, mais ils ont caché des comportements d'exfiltration de données aux serveurs situés en Chine sans informer ou demander le consentement des utilisateurs.
Les résultats provenaient des mains de Koi Security, une entreprise spécialisée dans la sécurité des terminaux et les chaînes d'approvisionnement de logiciels, qui a nommé l'opération « MaliciousCorgi ». Selon leur analyse, les deux suppléments partagent la même logique pour voler des informations et se connecter à la même infrastructure de commande et de contrôle. Au moment de la publication de l'enquête, les extensions étaient encore disponibles sur le marché sous les noms suivants: ChatGPT - PK(publié par WhenSunset, environ 1,34 million d'installations) et ChatMoss (CodeMoss)(publié par zhukunkeng, environ 150 000 établissements). Les détails techniques sont dans le rapport de Koi publié par Koi lui-même et des moyens spécialisés tels que Calculateur ont couvert l'histoire alors qu'une réponse officielle de Microsoft est attendue.
La technique d'exfiltration décrite par les chercheurs utilise trois vecteurs complémentaires. D'abord, le code d'extension surveille en temps réel les fichiers que le développeur ouvre dans le client VS Code ; en ouvrant un fichier, l'extension lit son contenu complet, le code dans Base64 et l'envoie à une vue web qui charge une iphrame cachée, transmettant ainsi le contenu au serveur distant. Il ne s'agit pas de capturer seulement des fragments ou de limiter à des lignes d'exemple : l'extension peut lire et transférer l'ensemble du fichier et aussi détecter et envoyer des modifications ultérieures.
Le deuxième mécanisme permet aux opérateurs de serveur de commander la collecte de fichiers de masse à partir de l'espace de travail de la victime : par une commande contrôlée par le serveur, l'extension peut emballer et envoyer jusqu'à 50 fichiers d'espace de travail en une seule opération, ce qui multiplie les dommages potentiels en incluant des fichiers de configuration, des secrets ou tout autre périphérique sensible stocké à côté du code.
Le troisième vecteur est orienté vers le profilage et le suivi de l'utilisateur. Les extensions chargent, à travers un iphrame de taille zéro dans la vue Web, plusieurs bibliothèques d'analyse commerciale - y compris Zhuge.io, GrowingIO, TalkingData et Baidu Analytics - qui servent à construire des empreintes digitales, suivre l'activité au sein de l'éditeur et corréler le comportement. Ensemble, ces trois techniques combinent l'extraction de contenu et la création de profils d'identité et d'appareils.
Le risque est évident : un développeur qui a installé un de ces suppléments peut sans le savoir exposer des fichiers de code source privé, des fichiers de configuration, des fichiers .env avec des clés et des jetons, des identifiants de service cloud et d'autres données sensibles qui restent généralement dans l'espace de travail. La possibilité de filtrer les clés d'API ou les secrets opérationnels à un acteur distant représente une menace directe pour les projets privés et l'infrastructure commerciale connectée.
Cette menace apparaît dans un écosystème aussi répandu que le marché du code VS met en évidence un point important sur les extensions et la confiance : bien que la plate-forme permette d'enrichir l'éditeur avec des fonctionnalités puissantes - surtout maintenant, avec la vague d'assistants de code basés sur l'IA - il n'y a pas de garantie absolue que toutes les extensions publient leur code ou agissent de manière transparente. Microsoft conserve la documentation sur le comportement et le cycle de vie des extensions sur son site officiel; elle vous aide à comprendre comment ces paquets sont distribués et mis à jour: VS Documents d'extension de code.
Face à un tel incident, les recommandations pratiques sont claires : à court terme, il est nécessaire de désinstaller immédiatement toute extension suspecte, de revoir la liste des suppléments actifs et d'éviter d'installer des paquets d'origine douteuse. Il est alors essentiel de vérifier les dépôts et les environnements de travail à la recherche de secrets potentiellement compromis et de faire pivoter les clés et les jetons qui ont pu être exposés. Pour l'équipement et les entreprises, il est également recommandé de centraliser les politiques sur les extensions approuvées et de restreindre les installations dans les environnements sensibles, ainsi que d'utiliser le code source et les outils de détection secrets Pipeline de CI / CD.
En plus des actions réactives, il y a une leçon préventive : vérifier la réputation de l'éditeur d'une extension, examiner le dépôt public s'il existe, vérifier les unités qu'il charge et limiter la portée des permis lorsque la plateforme le permet. Et, bien sûr, traiter les références comme des dispositifs à haut risque; les garder hors de l'espace de travail au moyen de solutions de gestion secrètes réduit la fenêtre d'exposition contre les suppléments malveillants.
La communauté de la sécurité et les développeurs d'outils eux-mêmes doivent suivre ces événements de près. Koi Security a publié une analyse technique qui comprend des fragments du code malveillant et des explications sur le fonctionnement des chaînes d'exfiltration; la lecture de ce rapport fournit un contexte technique pour ceux qui ont besoin d'audit des installations ou de réponse aux incidents: Rapport de Koi Security sur MaliciousCorgi. Dans l'intervalle, les médias ont tenté de contacter Microsoft pour expliquer pourquoi ces extensions sont restées accessibles et quelles mesures de médiation seraient appliquées; Calculateur les tentatives de communication avec l'entreprise sont collectées.
Dans un écosystème où les extensions accroissent la productivité mais aussi élargissent la surface d'attaque, la meilleure défense reste la combinaison de prudence, de transparence et de bonnes pratiques dans la gestion des secrets. Si vous êtes développeur ou gestionnaire d'infrastructure, il est approprié de prendre ce type d'alerte comme un avertissement : la commodité d'un outil ne devrait jamais éclipser les contrôles de sécurité minimum avant de l'intégrer dans votre workflow quotidien.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...