GlassWorm Piège 72 Extensions VSCode pour Voler des Secrets

Ce qui s'est passé

Des chercheurs en sécurité ont mis au jour cette semaine une campagne d'attaque supply chain de grande ampleur ciblant le marketplace Open VSX, l'alternative open source au marketplace officiel de Visual Studio Code, utilisée notamment par VSCodium, Gitpod, Eclipse Theia et de nombreux environnements de développement cloud. L'attaque, surnommée GlassWorm par les équipes de threat intelligence de The Hacker News, a compromis 72 extensions populaires en injectant du code malveillant capable d'identifier et d'exfiltrer des secrets présents sur la machine de développement : tokens d'API GitHub, GitLab et Bitbucket, clés SSH, variables d'environnement contenant des identifiants AWS, GCP ou Azure, fichiers de configuration Kubernetes et Docker, mots de passe de bases de données et même des portefeuilles de cryptomonnaies. Le vecteur initial d'infection repose sur la compromission des comptes de mainteneurs via du credential stuffing — les attaquants ont exploité des adresses email réutilisées dans d'autres fuites de données pour accéder aux comptes de publication sur le registre Open VSX. Une fois le compte d'un mainteneur compromis, l'attaquant publie discrètement une nouvelle version mineure de l'extension — suffisamment anodine pour ne pas déclencher d'alertes — avec le payload malveillant intégré. Les 72 extensions ciblées totalisent plusieurs millions d'installations cumulées.

Le mécanisme d'exfiltration de GlassWorm est sophistiqué : le code malveillant attend que l'extension légitime soit chargée, puis effectue une analyse récursive des répertoires home et workspace à la recherche de fichiers de configuration sensibles, en évitant délibérément les chemins standards de détection pour rester sous le radar des solutions EDR classiques. Les données collectées sont chiffrées et exfiltrées vers une infrastructure de command-and-control distribuée sur des hébergeurs légitimes abusés, rendant le trafic difficile à distinguer d'une activité normale. Cette approche rappelle fortement les méthodes documentées dans notre analyse de l'attaque supply chain sur Trivy via GitHub Actions et de la campagne Shai-Hulud 2 sur npm : les attaquants ciblent systématiquement les outils de développement et de sécurité eux-mêmes, sachant que leur présence dans les pipelines garantit un accès privilégié à des environnements sensibles. La période de compromission estimée s'étend du 10 au 19 mars 2026.

Open VSX a réagi rapidement en supprimant les 72 extensions compromises dès réception de la divulgation responsable, et en invalidant les tokens de publication de tous les comptes de mainteneurs affectés. Cependant, les développeurs ayant installé ces extensions durant la fenêtre de compromission doivent considérer leurs secrets comme potentiellement exposés et procéder à une rotation complète de leurs identifiants. La liste complète des extensions compromises est disponible dans l'avis de sécurité publié par The Hacker News. Notre section DevSecOps centralise les bonnes pratiques pour protéger vos pipelines contre ce type d'attaque, et notre tableau de bord cybersécurité suit en temps réel les menaces supply chain affectant l'écosystème du développement logiciel.

Pourquoi c'est important

Les attaques supply chain ciblant les outils de développement sont particulièrement dévastatrices pour une raison structurelle : elles touchent les développeurs, qui disposent par définition d'un accès privilégié aux systèmes de production. Un développeur compromis, c'est potentiellement l'accès à des dépôts de code source propriétaires, à des environnements de staging et de production, à des pipelines CI/CD complets, et à des identifiants cloud avec des permissions étendues. La surface d'impact réel dépasse largement la machine individuelle affectée. GlassWorm s'attaque de surcroît à un écosystème — Open VSX — qui bénéficiait jusqu'ici d'une attention sécurité moindre que les marketplaces officiels, précisément parce qu'il est perçu comme plus ouvert et moins exposé aux acteurs malveillants commerciaux. Cette perception est une vulnérabilité en soi. Les organisations qui déploient des environnements de développement cloud (Gitpod, GitHub Codespaces, Eclipse Theia) doivent impérativement auditer les extensions autorisées, mettre en place une liste blanche approuvée et imposer la vérification par empreinte SHA de toutes les extensions utilisées dans leurs pipelines automatisés.

Ce qu'il faut retenir

• Vérifiez immédiatement vos extensions VS Code et VSCodium contre la liste des 72 extensions GlassWorm compromises — toute version publiée entre le 10 et le 19 mars 2026 est suspecte.
• Révoquez et régénérez tous les secrets potentiellement exposés : tokens GitHub/GitLab/Bitbucket, clés AWS/GCP/Azure, clés SSH — considérez tout secret présent sur les machines affectées comme compromis.
• Adoptez le pinning par empreinte SHA pour les extensions utilisées en pipeline CI/CD, et n'installez que des extensions d'éditeurs vérifiés disposant d'un historique de publication transparent et régulier.