Tag: open vsx

L'attaque GlassWorm s'intensifie avec la découverte de 73 nouvelles extensions

L’attaque contre la chaîne d’approvisionnement connue sous le nom de GlassWorm a récemment escaladé avec l’identification de 73 nouvelles extensions dormantes sur le marché Open VSX. Ce développement, qui a eu lieu en avril 2026, représente une évolution dangereuse dans la manière dont les acteurs de menaces distribuent des logiciels malveillants aux développeurs de logiciels. Ce groupe d’extensions fait suite à une vague précédente détectée en mars 2026, qui avait déjà documenté 72 extensions malveillantes associées à la même opération. L’évolution des extensions malveillantes Les nouvelles tactiques employées par les attaquants cherchent à échapper aux analyses de sécurité. […]

L’attaque contre la chaîne d’approvisionnement connue sous le nom de GlassWorm a récemment pris de l’ampleur avec l’identification de 73 nouvelles extensions dormantes sur le marché Open VSX. Ce développement, survenu en avril 2026, représente une évolution dangereuse dans la manière dont les acteurs de menaces distribuent des malwares aux développeurs de logiciels. Ce groupe d’extensions fait suite à une vague précédente détectée en mars 2026, qui avait déjà documenté 72 extensions malveillantes associées à la même opération.

L’évolution des extensions malveillantes

Les nouvelles tactiques employées par les attaquants visent à échapper aux scans de sécurité. Auparavant, les variantes de cette attaque abusaient des caractéristiques des dépendances des extensions pour installer des chargeurs malveillants de manière silencieuse. En revanche, les extensions dormantes sont des paquets faux publiés avant d’être activés, qui semblent initialement inoffensifs pour générer de la confiance et accumuler des téléchargements.

Pour mener à bien leurs opérations, les attaquants créent des comptes frauduleux sur GitHub pour publier des versions clonées d’outils populaires. Un exemple clair est une fausse extension du Pack de Langue Turc pour Visual Studio Code, qui imite de près la version légitime, en copiant même son icône et sa description, ne changeant que le nom de l’éditeur. Une fois que les développeurs installent ces outils clonés, les attaquants attendent de lancer une mise à jour logicielle qui livre le malware. Au moins six des 73 nouvelles extensions ont déjà été activées, servant de chargeurs pour obtenir des charges externes de malware.

Le code malveillant n’est plus visible dans le code source de l’extension, ce qui augmente les chances d’échapper à la détection. Les équipes de sécurité doivent être attentives à certains indicateurs de compromission, et il est crucial que les développeurs vérifient les espaces de noms des éditeurs et examinent soigneusement les comptes de téléchargement avant d’installer toute extension du marché Open VSX.