Une attaque sur la chaîne d’approvisionnement logicielle a ciblé le registre d’extensions Open VSX. Des acteurs malveillants sont parvenus à compromettre le compte d’un développeur légitime afin de diffuser des versions piégées de plusieurs extensions, intégrant le malware GlassWorm.
Le registre Open VSX ciblé à cause d’un compte développeur compromis
Des chercheurs en cybersécurité ont révélé les détails d’une attaque de type supply chain visant le registre Open VSX Registry, utilisé notamment par des environnements de développement compatibles avec VS Code. Le 30 janvier 2026, quatre extensions existantes, publiées par un développeur reconnu sous le pseudonyme « oorzc », ont été mises à jour avec des versions malveillantes. Ces mises à jour contenaient un code injectant le malware GlassWorm, sans modification visible du comportement fonctionnel des extensions concernées.
Selon les analystes, l’attaque ne résulte pas d’une faille du registre lui-même, mais de la compromission préalable des ressources du développeur, permettant aux attaquants de publier des versions frauduleuses depuis un compte de confiance.
GlassWorm, un malware discret intégré à des extensions légitimes
Le code malveillant intégré aux extensions permettait l’exécution de charges persistantes sur les postes des développeurs et des environnements utilisant ces plugins. La diffusion par un canal de distribution officiel a considérablement augmenté la crédibilité des mises à jour, réduisant les chances de détection immédiate par les utilisateurs.
Les extensions concernées ont depuis été retirées du registre et remplacées par des versions saines. Les équipes Open VSX recommandent aux utilisateurs d’identifier les versions installées et de procéder à une vérification complète de leurs environnements de développement.
Un nouveau signal faible sur la sécurité de la supply chain logicielle
Cet incident illustre une nouvelle fois la fragilité des écosystèmes reposant sur des relations de confiance implicites, en particulier autour des identités développeur et des mécanismes de mise à jour automatisés. Les attaques visant les registres de dépendances, les extensions et les pipelines CI/CD continuent de se multiplier, ciblant des environnements pourtant perçus comme maîtrisés.
Cette compromission intervient alors qu’un autre incident de nature similaire a été révélé récemment. Les serveurs de mise à jour de l’antivirus eScan (MicroWorld Technologies) ont eux aussi été utilisés pour diffuser des mises à jour malveillantes en passant par une infrastructure légitime. Deux attaques distinctes, mais un même constat pour les équipes IT et sécurité : les chaînes de mise à jour et les comptes de publication restent des vecteurs d’attaque privilégiés, y compris dans des contextes supposés sécurisés.
