Verre: La menace qui transforme les extensions IDE en dropper natif pour envahir tous vos éditeurs

Les chercheurs en cybersécurité ont découvert un nouveau tournant dans la campagne appelée GlassWorm : une extension malveillante pour les environnements de développement qui a incorporé un "dropper" compilé à Zig avec la mission apparente d'infecter silencieusement tous les IDE installés dans l'équipe du développeur.

L'échantillon est apparu sur Open VSX sous le nom specstudio.code-wakatime-activity-tracker, essayant d'imiter WakaTime, l'outil qui enregistre le temps que vous passez à la programmation. L'extension n'est plus disponible pour le téléchargement, mais la constatation a clairement mis en évidence une tactique inquiétante: l'inclusion de binaires natifs compilés avec le code JavaScript d'extension, qui sont chargés en compléments natifs de nœuds et sortent du confinement habituel du bac à sable JavaScript, obtenant ainsi accès aux opérations de niveau système.

En termes pratiques, le binaire accompagnant l'extension agit comme un morceau très discret d'"indirection". Les fichiers appelés win.node dans Windows ou mac.node dans macOS sont des librairies partagées qui sont chargées sur l'exécution Node.js et cherchent activement d'autres IDE qui peuvent accepter des extensions compatibles avec le code VS. Cette recherche ne se limite pas à Visual Studio Code et à sa version Insiders : elle couvre également les fourches et les éditeurs dérivés - comme VSCodium - et même certains outils de programmation améliorés par l'IA qui intègrent la compatibilité des extensions.

Une fois que le binaire détecte des cibles, télécharger à partir d'un compte contrôlé par l'attaquant un malveillant . Paquet VSIX. Ce paquet remplace une extension légitime très populaire appelée autoimport (l'original est publié comme steoates.importation automatique sur le marché Visual Studio). L'installateur écrit le . VSIX sur une route temporaire et l'installe discrètement sur chaque éditeur en utilisant les outils de ligne de commande que chaque IDE fournit pour installer des extensions à partir de fichiers VSIX; un flux que tout développeur peut reconnaître si vous avez déjà installé des extensions manuellement (plus d'informations sur l'installation à partir de VSIX est disponible dans la documentation officielle VS Code: code.visualstudio.com).

Le cycle d'infection ne se termine pas avec la simple installation: la seconde extension agit comme un compte-gouttes plus capable. Selon l'analyse, il évite de fonctionner dans des systèmes situés en Russie, consulte la blockchain de Solana pour obtenir l'adresse du serveur de commande et de contrôle (C2) - une méthode qui profite de la nature publique et résiste à la censure des blockchains -, recueille des données sensibles de l'environnement de développement, et déploie un trojan d'accès à distance (RAT). Que RAT continue la chaîne d'attaque en installant une extension pour Google Chrome conçue pour voler les informations stockées dans le navigateur.

Cette évolution du crime numérique met en évidence plusieurs points critiques pour quiconque développe des logiciels. Premièrement, les extensions ne sont plus seulement des scripts : elles peuvent inclure des composants natifs qui fonctionnent en dehors du bac à sable et donc augmenter de façon significative la portée de ce qu'un paquet malveillant peut faire dans un système. Deuxièmement, la technique de distribution d'un installateur qui se réplique silencieusement en plusieurs IDE fait des environnements de développement un vecteur de mouvement latéral idéal pour les attaquants qui cherchent des identifiants, des jetons ou des secrets avec lesquels piquer dans d'autres ressources.

Si vous travaillez avec des outils comme WakaTime ou installez des extensions à partir de dépôts tiers, des précautions doivent être prises. L'incident montre que les attaquants utilisent des plates-formes légitimes telles que Open VSX ou des dépôts publics tels que GitHub pour héberger et distribuer des charges malveillantes de manière apparemment inoculée; il est donc essentiel de toujours vérifier l'origine d'une extension, de revoir son code lorsque c'est possible et de préférer des sources officielles et fiables. Pour mettre en contexte la façon dont ces incidents sont signalés et analysés dans la collectivité, des médias spécialisés et des équipes d'intervention ont documenté des cas semblables dans lesquels des extensions ou des paquets abusent de services légitimes pour persister ou étendre leur infection (voir couverture dans des sites de référence comme Ordinateur de brouillage ou Les nouvelles Hacker).

Si vous pensez que votre environnement pourrait être affecté par l'une de ces extensions - par exemple, si vous avez installé specstudio.code-wakatime-activity-tracker ou l'extension qui supplante à l'importation automatique -, le sage est de s'engager et d'agir rapidement. La réponse devrait inclure la désinstallation des extensions suspectes, la recherche et la suppression des binaires natifs connexes, la vérification des extensions installées dans tous les éditeurs et la révision des extensions de navigateur nouvellement installées. Il est également essentiel de faire pivoter les secrets qui ont été stockés ou accessibles à partir des jetons d'accès, des clés API, des identifiants de dépôt, etc.) et de révoquer ceux qui ne peuvent être garantis comme non compromis.

Au-delà de l'action immédiate, il y a des leçons à moyen terme pour les équipes et les organisations : minimiser l'exposition des secrets dans le code, utiliser des gestionnaires de secrets et de politiques qui réduisent les privilèges inutiles, vérifier régulièrement les extensions autorisées dans les environnements d'entreprise et utiliser la détection spécialisée pour surveiller les exécutions binaires natives ou les installations de vulgarisation de masse. Le caractère public de certaines infrastructures, telles que le bloc de Solana, est utilisé par les agresseurs pour orchestrer les communications C2; comprendre ces tactiques aide à formuler des réponses plus efficaces (document officiel sur Solana dans Docs.solana.com).

L'écosystème du développement est précieux et par conséquent attrayant pour les cybercriminels. Les outils qui facilitent le plus le travail quotidien peuvent également devenir des vecteurs de risque si les bonnes pratiques techniques ne sont pas associées à une surveillance constante. Dans ce contexte, le maintien d'une attitude critique à l'égard des extensions et des composants de tiers et la mise en place de contrôles de sécurité de base demeurent la meilleure défense contre les campagnes qui cherchent à s'infiltrer avec des apparences légitimes.