Une nouvelle vague d’extensions malveillantes cible les développeurs sous Visual Studio Code !
Des chercheurs en sécurité sont parvenus à identifier plusieurs extensions malveillantes au sein de la marketplace de Visual Studio Code. Elles sont utilisées par les pirates pour cibler les développeurs et les projets de crypto-monnaie, dans le cadre d'attaque de la chaine d'approvisionnement. Faisons le point.
En octobre, une nouvelle campagne sur la marketplace de Visual Studio Code, alias VSCode, a été initiée par un groupe de pirates informatiques. "Tout au long du mois d'octobre 2024, l'équipe de recherche du RL a constaté une nouvelle vague d'extensions VSCode malveillantes contenant des fonctionnalités de téléchargement - toutes faisant partie de la même campagne.", précise le rapport publié par Reversing Labs.
Les chercheurs en sécurité ont suivi l'activité des pirates depuis le mois d'octobre dernier, et il s'avère que cette campagne fait référence à 18 extensions malveillantes pour VSCode. Par ailleurs, un paquet malveillant similaire a été trouvé sur NPM, le gestionnaire de paquets pour Node.JS.
Voici la liste des extensions piégées :
- EVM.Blockchain-Toolkit
- VoiceMod.VoiceMod
- ZoomVideoCommunications.Zoom
- ZoomINC.Zoom-Workplace
- Ethereum.SoliditySupport
- ZoomWorkspace.Zoom (3 versions)
- ethereumorg.Solidity-Language-for-Ethereum
- VitalikButerin.Solidity-Ethereum (2 versions)
- SolidityFoundation.Solidity-Ethereum
- EthereumFoundation.Solidity-Language-for-Ethereum (2 versions)
- SOLIDITY.Solidity-Language
- GavinWood.SolidityLang (2 versions)
- EthereumFoundation.Solidity-for-Ethereum-Language
Certaines font référence à des projets dans le domaine de la crypto-monnaie, tandis que d'autres sont liées à Zoom, la solution de visioconférence. Pour tromper les utilisateurs, les pirates font le nécessaire pour ajouter de fausses évaluations positives et faire gonfler le nombre de téléchargements. Ainsi, rien ne laisse penser, au premier coup d'œil, que l'extension est malveillante.
Que font ces extensions sur l'appareil infecté ?
Selon ReversingLabs, toutes les extensions ont un seul et unique but : permettre à l'attaquant de télécharger des payloads (charges utiles) sur la machine où l'extension a été déployée. Cela s'effectue par un enchainement d'exécution de scripts.
En effet, des fichiers de script au format MS-DOS (CMD) fortement obscurcis sont utilisés pour lancer une commande PowerShell sur la machine. Des connexions sont notamment établies vers plusieurs domaines malveillants. Il y a les domaines "microsoft-visualstudiocode[.]com" et "captchacdn[.]com" qui peuvent sembler légitimes, tandis que d'autres utilisent des TLD tels que ".lat" et ".ru", ce qui fait référence à l'Amérique Latine et à la Russie.
Grâce à cette intrusion sur la machine d'un développeur, les pirates peuvent ensuite aller plus loin et tenter d'ajouter du code malveillant à un projet en cours de développement.
