Veuillez vous connecter à votre compte.
Salut la famille, je dois vous prévenir d'une découverte assez flippante sur la sécurité du Visual Studio Code Marketplace. Des pros en cybersécurité ont découvert que ce magasin d'extensions est rempli de modules malveillants qui peuvent se répandre très vite et atteindre des millions d'installations en un rien de temps.
Les chercheurs ont même réussi à créer leur propre extension malveillante, en faisant passer pour le thème populaire "Dracula Official". Ils ont réussi à infecter plus d'une centaine d'utilisateurs et d'entreprises, y compris une grosse boîte cotée en bourse et des fournisseurs de services de sécurité. Ça montre bien à quel point la sécurité du Visual Studio Code Marketplace est trouée.
Visual Studio Code (VS Code) est super apprécié des développeurs pros. Son Marketplace offre plein de modules pour booster l'appli.
Malheureusement, comme l'ont montré les recherches, ce Marketplace a pas mal de soucis de sécurité, comme l'usurpation d'identité des extensions et des éditeurs, ou le vol de jetons d'authentification des développeurs.
Ça montre bien qu'il faut vraiment faire gaffe à la sécurité dans nos environnements de développement. En tant que développeurs, on doit être vigilants quand on choisit et installe des extensions, et demander des normes de sécurité élevées aux fournisseurs d'outils.
Récemment, une équipe de chercheurs israéliens (Amit Assaraf, Itay Kruk et Idan Dardikman) a testé la sécurité de Marketplace et a réussi à infecter plus d'une centaine d'organisations en créant un cheval de Troie basé sur le thème populaire "Dracula Official". Ils ont trouvé des milliers d'extensions malveillantes avec des millions d'installations, ce qui est assez inquiétant.
L'extension "Dracula Official" permet d'ajouter un mode sombre stylé aux applications. Mais la fausse extension des chercheurs, appelée "Darcula", a été utilisée pour piéger les utilisateurs. Ils ont même enregistré le domaine "darculatheme.com" pour se faire passer pour des éditeurs vérifiés. Leur extension utilisait le code du vrai thème Darcula, mais incluait un script qui collectait des infos sur le système et les envoyait à un serveur distant.
Cette extension malveillante a réussi à infecter plus d'une centaine d'utilisateurs, car Microsoft l'a marquée comme légitime en la liant à "darculatheme.com". Le code malveillant passait sous le radar des outils de détection (EDR), car VS Code est souvent traité avec indulgence vu qu'il s'agit d'un outil de développement.
Les chercheurs expliquent que les outils EDR traditionnels n'ont pas pu détecter cette activité car VS Code lit et exécute beaucoup de fichiers et de commandes, ce qui rend difficile la distinction entre activité légitime et malveillante. Même les infrastructures de sécurité privées n'ont rien pu faire contre cette extension.
L'extension a vite gagné en popularité et a été installée par erreur par plusieurs cibles de grande valeur, dont une entreprise cotée en bourse de 483 milliards de dollars, des entreprises de sécurité et un réseau de cours de justice. Les chercheurs ont choisi de ne pas divulguer les noms des entreprises concernées.
En conclusion, cette situation montre bien que le Visual Studio Code Marketplace a de sérieux problèmes de sécurité. Les chercheurs ont signalé toutes les extensions malveillantes à Microsoft, mais beaucoup d'entre elles étaient encore disponibles dimanche dernier. Ils prévoient de publier leur outil "ExtensionTotal" pour aider les développeurs à analyser leurs environnements à la recherche de menaces.
Microsoft n'a pas encore commenté les conclusions des chercheurs.
