Une campagne malveillante baptisée GlassWorm cible l’écosystème des développeurs en exploitant le registre d’extensions Open VSX utilisé par plusieurs environnements basés sur Visual Studio Code. Les chercheurs évoquent une attaque supply chain capable de se propager en utilisant les dépendances entre extensions.
Une attaque qui s’infiltre dans l’écosystème des extensions
Des chercheurs en cybersécurité ont identifié une nouvelle évolution de la campagne GlassWorm, qui vise cette fois directement l’écosystème des extensions utilisées par les développeurs. L’attaque s’appuie sur le registre Open VSX, un catalogue d’extensions open source utilisé notamment par des environnements compatibles avec Visual Studio Code. Selon les analyses publiées par The Hacker News, les attaquants ont réussi à intégrer des extensions malveillantes dans ce registre. Ces modules peuvent ensuite être installés par les développeurs sans se douter de leur nature, ce qui ouvre la voie à une compromission plus large des environnements de développement.
Une propagation via les dépendances entre extensions
La particularité de cette campagne réside dans la manière dont elle se propage. Les attaquants exploitent les mécanismes extensionPack et extensionDependencies, qui permettent à une extension d’en installer automatiquement d’autres lors de son déploiement. Dans certains cas, les extensions malveillantes ne contiennent pas directement le code dangereux. Celui-ci est téléchargé ou activé par une autre extension dépendante, ce qui rend la détection plus difficile. Cette technique permet de transformer des extensions apparemment anodines en vecteurs d’attaque indirects.
Les chercheurs indiquent que plusieurs dizaines d’extensions ont été impliquées dans cette campagne, certaines servant de relais pour installer d’autres modules malveillants.
Les développeurs au cœur des attaques supply chain
Cette opération nous montre encore une fois que plutôt que de cibler directement les entreprises, les attaquants s’attaquent de plus en plus aux outils utilisés par les développeurs. Les environnements de développement et leurs extensions constituent en effet des points d’entrée stratégiques. Une extension compromise peut accéder au code source, aux identifiants ou aux clés API utilisés dans les projets logiciels.
Dans ce type de scénario, une attaque réussie peut ensuite se propager en aval dans toute la chaîne logicielle, ce qui explique l’attention croissante portée aux attaques supply chain dans le domaine du développement.
L’affaire GlassWorm rappelle que les registres d’extensions et les dépôts open source sont devenus des cibles privilégiées pour les cybercriminels. Leur popularité et leur modèle ouvert facilitent l’introduction de composants malveillants lorsque les mécanismes de vérification sont insuffisants. Pour les équipes de développement, la prudence reste donc de mise lors de l’installation d’extensions ou de dépendances issues de registres publics. L’analyse du code, la vérification de la provenance des modules et l’utilisation d’outils de sécurité dédiés deviennent progressivement des pratiques indispensables.
