Des hackers cachent des logiciels malveillants dans des outils open-source et des extensions d'IDE.
La croyance commune selon laquelle « le code source ouvert est sûr parce que tout le monde peut l’inspecter » est trompeuse. En réalité, la plupart des projets open source incluent des modules complémentaires et des composants qui ne sont pas du tout open source — et ces parties cachées peuvent facilement contenir des logiciels espions, des malwares et des virus. Une fois installés, ils peuvent prendre le contrôle à la fois de l’ordinateur de l’utilisateur et des serveurs exécutant le soi-disant code source ouvert, donnant aux pirates un contrôle total pour faire ce qu’ils veulent.
Une cyberattaque récemment découverte—l'une des campagnes les plus sophistiquées axées sur les développeurs observées ces dernières années—arme le flux de travail quotidien des ingénieurs logiciels.
Des entreprises de sécurité ont révélé une opération malveillante dans laquelle des attaquants insèrent des logiciels malveillants discrets dans des extensions apparemment inoffensives et des outils open source utilisés par des dizaines de milliers de développeurs dans le monde.
Ces extensions semblent complètement légitimes, mais exfiltrent en silence des données hautement sensibles telles que des mots de passe, des identifiants d'accès Wi-Fi, des jetons d'authentification, des contenus du presse-papiers et même des captures d'écran en direct prises directement depuis les machines des développeurs.
EXTENSIONS VS CODE COMPROMISEES : « BITCOIN BLACK » ET « CODO AI »
Deux extensions Visual Studio Code ont été confirmées comme contenant des composants malveillants intégrés : le thème _Bitcoin Black_ et un outil d'assistant IA appelé _Codo AI_.
Les deux extensions semblaient entièrement légitimes sur le marché et exécutaient leurs fonctions annoncées, ce qui les aidait à éviter les soupçons et à atteindre une large adoption.
Une fois installées, les extensions déployaient une charge utile malveillante supplémentaire qui récoltait continuellement des données des appareils infectés. Les acteurs menaçants n’étaient pas contents de ne collecter que des mots de passe.
Le logiciel malveillant capturait des captures d'écran en temps réel des écrans des développeurs—révélant du code source, des discussions Slack, des identifiants, de la documentation interne et des répertoires de projets confidentiels.
Ce niveau de visibilité permet aux attaquants de cartographier des flux de travail entiers, de comprendre des architectures sensibles et de cibler les organisations avec précision.
LA TECHNIQUE D'ATTAQUE : DÉVIIIEMENT DLL COMME VÉHICULE DE LIVRAISON
L'opération reposait sur une méthode avancée connue sous le nom de DÉVIEMENT DLL, qui abuse de la manière dont les logiciels légitimes chargent les bibliothèques système.
Les attaquants ont téléchargé un véritable outil de capture d'écran bénin (Lightshot) sur la machine de la victime, le combinant avec un DLL malveillant portant le même nom de fichier que la bibliothèque attendue de l'outil.
Lorsque Lightshot se lançait, il chargeait automatiquement le DLL contrefait de l'attaquant.
Cela a déclenché l'exécution du logiciel malveillant sans éveiller les soupçons.
Les chercheurs en sécurité ont découvert que le logiciel malveillant collectait :
*
Des captures d'écran continues et des données du presse-papiers
*
Des mots de passe Wi-Fi et des identifiants sans fil enregistrés
*
Des cookies de navigateur, des jetons d'authentification et des sessions actives (via Chrome et Edge en mode headless)
*
Des informations sur les logiciels installés, les processus en cours et les outils de développement
Koi Security signale que les attaquants ont itéré et amélioré l'opération, utilisant de plus en plus des scripts « propres » et ayant une apparence innocente pour se fondre dans l'activité normale des développeurs.
LA CAMPAGNE SE RÉPAND AU-DELÀ DE VS CODE
Alors que les premières découvertes sont apparues dans VS Code, des injections malveillantes similaires apparaissent désormais dans l'écosystème open source plus large :
*
NPM ET GO : des paquets malveillants imitant les noms de bibliothèques populaires et de confiance
*
RUST : Une bibliothèque appelée _finch-rust_ a fait passer pour un outil de calcul scientifique, mais a plutôt chargé un composant malveillant supplémentaire appelé _sha-rust_
Cela reflète une attaque directe sur la CHAÎNE D'APPROVISIONNEMENT LOGICIEL—le mécanisme de confiance sur lequel les développeurs comptent lors de l'importation de paquets, d'extensions ou de dépendances.
En compromettant des outils qui se trouvent au cœur du développement logiciel, les attaquants obtiennent un accès privilégié à des organisations entières.
POURQUOI CETTE MENACE EST-ELLE SI DANGEREUSE
Un seul développeur installant une extension d'apparence bénigne peut sans le savoir déclencher une violation dans toute l'entreprise :
*
Vol de code source propriétaire fondamental
*
Prise de contrôle des comptes de développement GitHub et autres dans le cloud
*
Infection des pipelines CI/CD et des environnements de construction
*
Exposition de données sensibles des clients, d'identifiants et d'architecture interne
Étant donné que les environnements de développement sont privilégiés par conception—détenant des secrets, des jetons, des clés SSH et du code—le rayon d'action d'une compromission est énorme.
L'analyse de code statique traditionnelle est insuffisante pour détecter ces attaques.
Les extensions elles-mêmes semblent souvent légitimes ou incluent un code inoffensif à côté de charges cachées.
Ce qui est nécessaire, c'est une SURVEILLANCE COMPORTEMENTALE EN TEMPS RÉEL capable de signaler des actions anormales—comme une extension de thème tentant d'accéder à des mots de passe enregistrés.
MESURES DE SÉCURITÉ RECOMMANDÉES POUR LES DÉVELOPPEURS ET LES ORGANISATIONS
Pour réduire l'exposition, les entreprises de cybersécurité recommandent les étapes défensives suivantes :
*
ACTIVER L'AUTHENTIFICATION MULTIFACTEUR SUR TOUS LES COMPTES DE DÉVELOPPEMENT, y compris GitHub, GitLab, fournisseurs de cloud et outils CI/CD.
*
VÉRIFIER L'IDENTITÉ ET LA RÉPUTATION DES ÉDITEURS D'EXTENSIONS avant installation.
*
ÉVITER LES PLUGINS ANONYMES, MAL ÉVALUÉS OU INCONNUS—même s'ils semblent inoffensifs.
*
ADOPTER DES OUTILS DE SÉCURITÉ QUI INCLUENT LA DÉTECTION COMPORTEMENTALE, et pas seulement l'analyse statique.
*
TRAITER TOUS LES OUTILS DE DÉVELOPPEMENT ALIMENTÉS PAR L'IA AVEC CAUTION, en particulier ceux demandant des autorisations système élevées.
*
Effectuer des AUDITS RÉGULIERS DES ENVIRONNEMENTS DE DÉVELOPPEMENT, y compris les sessions de navigateur, les secrets, les jetons stockés et les extensions installées.
Cette attaque marque un tournant dans la cybercriminalité axée sur les développeurs.
En ciblant les outils mêmes sur lesquels les développeurs comptent quotidiennement, les attaquants obtiennent un accès sans précédent à l'écosystème logiciel mondial.
Les résultats soulignent l'urgence d'une meilleure sécurité de la chaîne d'approvisionnement, d'un examen rigoureux des extensions et d'une surveillance comportementale pour défendre les flux de travail de développement les plus sensibles au monde.
Des entreprises de sécurité ont révélé une opération malveillante dans laquelle des attaquants insèrent des logiciels malveillants discrets dans des extensions apparemment inoffensives et des outils open source utilisés par des dizaines de milliers de développeurs dans le monde.
Ces extensions semblent complètement légitimes, mais exfiltrent en silence des données hautement sensibles telles que des mots de passe, des identifiants d'accès Wi-Fi, des jetons d'authentification, des contenus du presse-papiers et même des captures d'écran en direct prises directement depuis les machines des développeurs.
EXTENSIONS VS CODE COMPROMISEES : « BITCOIN BLACK » ET « CODO AI »
Deux extensions Visual Studio Code ont été confirmées comme contenant des composants malveillants intégrés : le thème _Bitcoin Black_ et un outil d'assistant IA appelé _Codo AI_.
Les deux extensions semblaient entièrement légitimes sur le marché et exécutaient leurs fonctions annoncées, ce qui les aidait à éviter les soupçons et à atteindre une large adoption.
Une fois installées, les extensions déployaient une charge utile malveillante supplémentaire qui récoltait continuellement des données des appareils infectés. Les acteurs menaçants n’étaient pas contents de ne collecter que des mots de passe.
Le logiciel malveillant capturait des captures d'écran en temps réel des écrans des développeurs—révélant du code source, des discussions Slack, des identifiants, de la documentation interne et des répertoires de projets confidentiels.
Ce niveau de visibilité permet aux attaquants de cartographier des flux de travail entiers, de comprendre des architectures sensibles et de cibler les organisations avec précision.
LA TECHNIQUE D'ATTAQUE : DÉVIIIEMENT DLL COMME VÉHICULE DE LIVRAISON
L'opération reposait sur une méthode avancée connue sous le nom de DÉVIEMENT DLL, qui abuse de la manière dont les logiciels légitimes chargent les bibliothèques système.
Les attaquants ont téléchargé un véritable outil de capture d'écran bénin (Lightshot) sur la machine de la victime, le combinant avec un DLL malveillant portant le même nom de fichier que la bibliothèque attendue de l'outil.
Lorsque Lightshot se lançait, il chargeait automatiquement le DLL contrefait de l'attaquant.
Cela a déclenché l'exécution du logiciel malveillant sans éveiller les soupçons.
Les chercheurs en sécurité ont découvert que le logiciel malveillant collectait :
*
Des captures d'écran continues et des données du presse-papiers
*
Des mots de passe Wi-Fi et des identifiants sans fil enregistrés
*
Des cookies de navigateur, des jetons d'authentification et des sessions actives (via Chrome et Edge en mode headless)
*
Des informations sur les logiciels installés, les processus en cours et les outils de développement
Koi Security signale que les attaquants ont itéré et amélioré l'opération, utilisant de plus en plus des scripts « propres » et ayant une apparence innocente pour se fondre dans l'activité normale des développeurs.
LA CAMPAGNE SE RÉPAND AU-DELÀ DE VS CODE
Alors que les premières découvertes sont apparues dans VS Code, des injections malveillantes similaires apparaissent désormais dans l'écosystème open source plus large :
*
NPM ET GO : des paquets malveillants imitant les noms de bibliothèques populaires et de confiance
*
RUST : Une bibliothèque appelée _finch-rust_ a fait passer pour un outil de calcul scientifique, mais a plutôt chargé un composant malveillant supplémentaire appelé _sha-rust_
Cela reflète une attaque directe sur la CHAÎNE D'APPROVISIONNEMENT LOGICIEL—le mécanisme de confiance sur lequel les développeurs comptent lors de l'importation de paquets, d'extensions ou de dépendances.
En compromettant des outils qui se trouvent au cœur du développement logiciel, les attaquants obtiennent un accès privilégié à des organisations entières.
POURQUOI CETTE MENACE EST-ELLE SI DANGEREUSE
Un seul développeur installant une extension d'apparence bénigne peut sans le savoir déclencher une violation dans toute l'entreprise :
*
Vol de code source propriétaire fondamental
*
Prise de contrôle des comptes de développement GitHub et autres dans le cloud
*
Infection des pipelines CI/CD et des environnements de construction
*
Exposition de données sensibles des clients, d'identifiants et d'architecture interne
Étant donné que les environnements de développement sont privilégiés par conception—détenant des secrets, des jetons, des clés SSH et du code—le rayon d'action d'une compromission est énorme.
L'analyse de code statique traditionnelle est insuffisante pour détecter ces attaques.
Les extensions elles-mêmes semblent souvent légitimes ou incluent un code inoffensif à côté de charges cachées.
Ce qui est nécessaire, c'est une SURVEILLANCE COMPORTEMENTALE EN TEMPS RÉEL capable de signaler des actions anormales—comme une extension de thème tentant d'accéder à des mots de passe enregistrés.
MESURES DE SÉCURITÉ RECOMMANDÉES POUR LES DÉVELOPPEURS ET LES ORGANISATIONS
Pour réduire l'exposition, les entreprises de cybersécurité recommandent les étapes défensives suivantes :
*
ACTIVER L'AUTHENTIFICATION MULTIFACTEUR SUR TOUS LES COMPTES DE DÉVELOPPEMENT, y compris GitHub, GitLab, fournisseurs de cloud et outils CI/CD.
*
VÉRIFIER L'IDENTITÉ ET LA RÉPUTATION DES ÉDITEURS D'EXTENSIONS avant installation.
*
ÉVITER LES PLUGINS ANONYMES, MAL ÉVALUÉS OU INCONNUS—même s'ils semblent inoffensifs.
*
ADOPTER DES OUTILS DE SÉCURITÉ QUI INCLUENT LA DÉTECTION COMPORTEMENTALE, et pas seulement l'analyse statique.
*
TRAITER TOUS LES OUTILS DE DÉVELOPPEMENT ALIMENTÉS PAR L'IA AVEC CAUTION, en particulier ceux demandant des autorisations système élevées.
*
Effectuer des AUDITS RÉGULIERS DES ENVIRONNEMENTS DE DÉVELOPPEMENT, y compris les sessions de navigateur, les secrets, les jetons stockés et les extensions installées.
Cette attaque marque un tournant dans la cybercriminalité axée sur les développeurs.
En ciblant les outils mêmes sur lesquels les développeurs comptent quotidiennement, les attaquants obtiennent un accès sans précédent à l'écosystème logiciel mondial.
Les résultats soulignent l'urgence d'une meilleure sécurité de la chaîne d'approvisionnement, d'un examen rigoureux des extensions et d'une surveillance comportementale pour défendre les flux de travail de développement les plus sensibles au monde.
AI Disclaimer: An advanced artificial intelligence (AI) system generated the content of this page on its own. This innovative technology conducts extensive research from a variety of reliable sources, performs rigorous fact-checking and verification, cleans up and balances biased or manipulated content, and presents a minimal factual summary that is just enough yet essential for you to function as an informed and educated citizen. Please keep in mind, however, that this system is an evolving technology, and as a result, the article may contain accidental inaccuracies or errors. We urge you to help us improve our site by reporting any inaccuracies you find using the "Contact Us" link at the bottom of this page. Your helpful feedback helps us improve our system and deliver more precise content. When you find an article of interest here, please look for the full and extensive coverage of this topic in traditional news sources, as they are written by professional journalists that we try to support, not replace. We appreciate your understanding and assistance.
