La Fondation Eclipse a décidé de faire un pas important pour renforcer la sécurité de son dépôt d'extension VSX ouvert, l'enregistrement alternatif où des accessoires compatibles avec Visual Studio Code sont publiés. Jusqu'à présent, la dynamique avait été essentiellement réactive: quand une extension malveillante a été détectée, elle a été étudiée et retirée. Il est maintenant envisagé de vérifier les paquets avant qu'ils ne deviennent accessibles au public, dans le but de réduire la fenêtre d'exposition et d'arrêter la propagation du code nocif dans la chaîne d'approvisionnement.
L'idée derrière ces contrôles pré-publication est simple mais puissante: intercepter les signes évidents de problèmes - des tentatives de substitution du nom à des secrets accidentellement inclus - avant qu'une extension atteigne des millions de développeurs. Selon l'équipe de la Fondation Eclipse, cette stratégie vise à augmenter le niveau minimum de sécurité d'inscription et à accroître la confiance dans Open VSX en tant qu'infrastructure partagée. Vous pouvez lire la version officielle et les détails techniques sur le blog de la Fondation Eclipse Voilà..
Le changement ne vient pas dans le vide. Les dépôts de paquets et les marchés sont devenus des cibles à faible coût et à impact élevé pour les acteurs malveillants : il suffit d'introduire une extension ou un paquet infecté ou de poser comme un auteur légitime pour atteindre des milliers ou des millions d'utilisateurs. Les incidents de grande ampleur antérieurs, tels que la campagne compromettante contre SolarWinds qui a affecté la chaîne d'approvisionnement du logiciel, ont montré clairement que la confiance implicite dans les composants et les distributions peut être exploitée avec de graves conséquences; dans ce cas, les autorités procèdent à une analyse et à un avis public. Voilà..
Une autre référence utile à la compréhension du contexte général des menaces de la chaîne d'approvisionnement est le travail de la communauté de la sécurité: OWASP sur la sécurité de la chaîne d'approvisionnement des logiciels Ils recueillent les modèles d'attaque et les bonnes pratiques pour les atténuer. Dans le cas des enregistrements d'extension, les vecteurs les plus récurrents comprennent la supplantation de noms (imimitation d'espace de noms), la publication d'erreurs d'identification dans le code, et les modèles de comportement identifiables associés aux paquets malveillants.
Pour éviter de bloquer les développeurs de bonne foi par erreur, la Fondation Eclipse a décidé de déployer progressivement la nouvelle vérification. En février 2026, le système fonctionnera en mode observation : les publications nouvellement téléchargées seront surveillées sans empêcher leur disponibilité immédiate, ce qui permettra d'affiner les règles, de réduire les faux positifs et d'améliorer les messages retournés aux auteurs. L'intention est de commencer la phase de mise en œuvre effective le mois suivant, donnant ainsi une période d'adaptation technique et communautaire.
Cette approche progressive est importante parce que les contrôles automatiques peuvent attraper de nombreux problèmes évidents, mais ils peuvent également générer des frictions si elles ne sont pas bien calibrées. Les détecteurs secrets de code, les systèmes de comparaison de nom ou d'heuristique qui pointent vers des modèles suspects doivent être combinés avec des processus humains clairs et des voies d'appel afin que les développeurs légitimes ne souffrent pas d'interruptions inutiles.
Ce n'est pas une expérience exclusive. Microsoft applique déjà un processus de validation sur son propre marché d'extension, avec des scans initiaux, rescans peu après la publication et des audits réguliers à l'ensemble du corpus de paquets, comme décrit par la société dans sa documentation sur la sécurité et la confiance du marché Voilà.. L'apprentissage des pratiques existantes et l'adaptation de mesures qui fonctionnent dans d'autres écosystèmes aident à ne pas répéter les erreurs et à consolider des réponses plus standard aux menaces communes.
Que peut attendre la communauté de développeurs qui publie sur Open VSX ? Dans la pratique, lorsque le système identifie une augmentation avec des signaux problématiques, l'extension peut être laissée dans une queue de révision ou en quarantaine temporaire jusqu'à ce que des contrôles supplémentaires soient passés. Les motifs peuvent aller de coïncidences évidentes avec des noms d'extension populaires - suggérant un remplacement possible - à la présence de clés ou de jetons dans le paquet, ou les modèles que les outils de détection considèrent malveillant. Pour les auteurs de bonne foi, cela ajoutera une étape supplémentaire au flux de publication, mais l'intention déclarée est que le processus soit prévisible et équitable, offrant une rétroaction utile pour corriger et réessayer la publication.
La nouvelle ouvre également un débat plus large sur la façon d'équilibrer la sécurité, la facilité de publication et la transparence. L'augmentation de la vérification réduit les risques, mais nécessite des ressources, un entretien et une gouvernance claire pour éviter les biais dans les détections. En outre, la confidentialité des informations contenues dans les paquets à analyser et la protection des droits des auteurs sont des aspects qui doivent être pris en charge dans la mise en œuvre opérationnelle.
Bref, l'engagement de la Fondation Eclipse est de passer d'une position réactive à une position proactive en appliquant des contrôles automatisés avant leur publication et en les combinant, le cas échéant, avec des examens humains. S'il est exécuté avec une sensibilité aux développeurs et avec transparence sur les critères et les voies d'appel, il peut augmenter la confiance dans Open VSX et réduire le risque d'extensions malveillantes atteignant les machines des utilisateurs. Pour ceux qui veulent consulter le registre lui-même et son fonctionnement, le site officiel Open VSX est disponible Voilà..
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...