Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware

1 minute de lecture

Mis à jour : April 27, 2026

Propagation de malwares via des extensions VS Code piégées

Une campagne malveillante baptisée GlassWorm v2 a été identifiée sur le dépôt Open VSX. Elle consiste en la diffusion de 73 extensions Visual Studio Code frauduleuses, conçues pour usurper l’identité d’outils légitimes via du typosquatting et une reproduction fidèle des visuels.

Points clés :

Stratégie de « dormance » : Les attaquants publient des extensions inoffensives pour gagner la confiance des utilisateurs et accumuler des téléchargements avant de déployer un code malveillant via une mise à jour.
Infection multi-IDE : L’extension infectée télécharge une charge utile (payload) depuis GitHub qui installe automatiquement des composants malveillants sur tous les IDE présents sur la machine (VS Code, Cursor, Windsurf, VSCodium).
Objectifs : Déploiement d’un cheval de Troie d’accès à distance (RAT) et d’une extension de navigateur basée sur Chromium pour le vol de données sensibles (identifiants, favoris, etc.).
Évasion : Le malware détecte les systèmes localisés en Russie pour éviter de s’y exécuter.

Vulnérabilités :

Cette campagne n’exploite pas une CVE spécifique, mais repose sur l’ingénierie sociale et la confiance accordée aux extensions tierces. Elle détourne la commande --install-extension pour étendre l’infection à l’ensemble de l’environnement de développement de la victime.

Recommandations :

Vérification rigoureuse : Avant d’installer une extension, vérifiez systématiquement l’éditeur officiel, le nombre de téléchargements et la cohérence des liens de support.
Méfiance envers les mises à jour : Soyez vigilant face aux extensions récemment mises à jour, particulièrement si elles demandent soudainement de nouvelles autorisations.
Audit des extensions : Passez régulièrement en revue les extensions installées dans votre IDE et supprimez celles qui ne sont pas strictement nécessaires ou dont l’origine semble douteuse.
Sécurisation des terminaux : Utilisez des outils d’analyse de la chaîne d’approvisionnement (tels que Socket) pour détecter les comportements suspects au sein des dépendances et extensions.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware

Propagation de malwares via des extensions VS Code piégées

Partager sur

Vous pourriez aimer

⚡ Weekly Recap: Fast16 Malware, XChat Launch, Federal Backdoor, AI Employee Tracking & More

Revue hebdomadaire : Menaces persistantes et nouvelles vulnérabilités

Webinar: Spotting cyberattacks before they begin

Anticiper les cyberattaques grâce au renseignement sur les menaces

TeamPCP Supply Chain Campaign: Update 008 - 26-Day Pause Ends with Three Concurrent Compromises (Checkmarx KICS, Bitwarden CLI Cascade, xinference PyPI), CanisterSprawl npm Worm Identified, and Tier 1 Coverage Returns, (Mon, Apr 27th)

Résurgence des attaques de la chaîne d’approvisionnement par TeamPCP

PyPI package with 1.1M monthly downloads hacked to push infostealer

Compromission de la supply chain : le package PyPI « elementary-data » détourné