Logiciel malveillant GlassWorm v2
Des chercheurs en cybersécurité ont mis au jour une vaste campagne malveillante impliquant des dizaines d'extensions Microsoft Visual Studio Code (VS Code) hébergées sur le dépôt Open VSX. Cette opération, baptisée GlassWorm, vise à dérober des informations sensibles aux développeurs et à compromettre leurs environnements de développement.
Les enquêteurs ont découvert 73 extensions suspectes imitant des outils légitimes. Parmi elles, six ont été identifiées comme malveillantes, tandis que les autres semblent fonctionner comme des paquets dormants conçus pour gagner la confiance des utilisateurs avant d'être activés ultérieurement via des mises à jour.
Toutes les extensions identifiées ont été téléchargées début avril 2026. Depuis le 21 décembre 2025, les chercheurs ont relié plus de 320 artefacts malveillants à l'infrastructure GlassWorm.
Table des matières
Extensions malveillantes confirmées
Les extensions Open VSX suivantes ont été confirmées comme étant nuisibles :
- thème outsidestormcommand.monochromator
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-code-validate
- Winnerdomain17.version-lens-tool
Ingénierie sociale via des paquets clonés
De nombreuses extensions dormantes imitent fidèlement des paquets de confiance grâce à des techniques de typosquatting. Par exemple, les attaquants utilisent des noms trompeurs tels que CEINTL.vscode-language-pack-tr au lieu du paquet légitime Emotionkyoseparate.turkish-language-pack.
Pour renforcer leur crédibilité, ces fausses extensions reprenaient également les icônes et les descriptions originales. Cette stratégie de « confiance visuelle » permet aux attaquants d'augmenter naturellement le nombre d'installations en donnant aux paquets une apparence authentique et sûre.
Les attaquants adoptent des techniques de diffusion plus furtives.
Les chercheurs indiquent que les opérateurs de GlassWorm perfectionnent activement leurs méthodes pour éviter d'être détectés. Au lieu de déployer immédiatement le logiciel malveillant, ils s'appuient désormais sur des paquets dormants et des dépendances transitives cachées qui peuvent s'activer ultérieurement.
La campagne utilise également des programmes d'installation basés sur Zig pour installer une seconde extension VSIX malveillante hébergée sur GitHub. Une fois exécuté, ce programme peut propager la charge utile à travers plusieurs environnements de développement intégrés (IDE) installés sur le même système.
Plusieurs environnements de développement intégrés (IDE) à risque
Le logiciel malveillant est capable d'identifier et d'infecter plusieurs plateformes de développement via la commande --install-extension, notamment :
- Microsoft VS Code
- Curseur
- planche à voile
- VSCodium
Charge utile finale conçue pour le vol de données et le contrôle à distance
Quel que soit le mode d'infection initial, l'objectif final reste le même. Le logiciel malveillant est conçu pour contourner les systèmes situés en Russie, collecter des informations sensibles, déployer un cheval de Troie d'accès à distance (RAT) et installer subrepticement une extension de navigateur malveillante basée sur Chromium.
Cette extension de navigateur peut capturer les identifiants, les favoris et d'autres données stockées. Dans certaines versions, le mécanisme de diffusion est dissimulé dans du JavaScript obfusqué : l'extension sert uniquement de programme de chargement, tandis que la véritable charge utile est téléchargée et exécutée après l'activation.
