GlassWorm malware attacks return via 73 OpenVSX “sleeper” extensions
Mis à jour :
Résurgence de la campagne de malware GlassWorm via OpenVSX
La campagne de cyberattaques « GlassWorm » a repris avec la diffusion de 73 extensions malveillantes sur le registre OpenVSX. Cette nouvelle vague repose sur une stratégie de « sleeper extensions » (extensions dormantes) : les outils apparaissent initialement légitimes, mais intègrent des fonctionnalités malveillantes via des mises à jour ultérieures.
Points clés :
- Méthode de prolifération : Les attaquants clonent des extensions populaires en imitant leurs icônes et descriptions. Seuls le nom de l’éditeur et l’identifiant unique permettent de les distinguer.
- Stratégie de charge utile : Contrairement aux versions précédentes, ces extensions agissent comme des « chargeurs » (loaders). Elles récupèrent le code malveillant à l’exécution via des packages VSIX externes, des modules compilés (
.node) ou du JavaScript fortement obfusqué. - Objectifs : Le vol de données sensibles telles que les portefeuilles de cryptomonnaies, les identifiants, les jetons d’accès (tokens), les clés SSH et les données d’environnement de développement.
- Vulnérabilités : Il ne s’agit pas ici d’une vulnérabilité logicielle (CVE) classique, mais d’une exploitation de la confiance des développeurs et d’une faille dans le processus de mise à jour des extensions OpenVSX permettant l’injection dynamique de code.
Recommandations :
- Vérification : Contrôler rigoureusement l’identité de l’éditeur et l’identifiant unique lors de l’installation d’extensions VS Code ou OpenVSX, plutôt que de se fier uniquement au nom ou à l’icône.
- Nettoyage immédiat : En cas d’installation d’une extension suspecte, supprimer celle-ci immédiatement.
- Rotation des secrets : Si une extension suspecte a été utilisée, considérer l’environnement comme compromis : procéder à une rotation complète de toutes les clés SSH, mots de passe, tokens API et secrets de développement utilisés dans l’éditeur.