Extensions malveillantes de VS Code exploitent une faille du Marketplace

Des chercheurs en cybersécurité ont découvert une faille dans le Marketplace de Microsoft Visual Studio Code (VS Code) qui permet aux attaquants de réutiliser des noms d’extensions supprimées, permettant potentiellement à des logiciels malveillants d’infiltrer les flux de travail des développeurs sous le couvert d’outils de confiance.

Les chercheurs de la société de sécurité de la chaîne d’approvisionnement ReversingLabs (RL) ont découvert le problème après avoir suivi une série d’extensions malveillantes appelées ahbanC.shiba en juin. L’extension s’est révélée avoir la même capacité que les deux précédentes extensions signalées plus tôt cette année, ahban.shiba et ahban.cychelloworld, qui avaient toutes deux déjà été supprimées du Marketplace.

Cela a soulevé une question critique : selon les règles du Marketplace, si VS Code exige que tous les noms d’extensions soient uniques, comment le nom « shiba » a-t-il pu réapparaître sous un éditeur différent ?

Comment fonctionne l’attaque

Comme ses prédécesseurs, l’extension ahbanC.shiba agissait comme un simple téléchargeur. L’extension n’enregistrait qu’une seule commande : shiba.aowoo, qui récupérait un script PowerShell depuis un serveur distant (54.85.145.93).

Selon le système d’exploitation, le script chiffrait des fichiers dans un dossier testShiba et exigeait un token Shiba Inu (une cryptomonnaie basée sur Ethereum) comme rançon. Comme les versions précédentes, cependant, aucune adresse de portefeuille n’était fournie, ce qui suggérait que la campagne de ransomware était encore en développement.

Lorsque les extensions ahban.shiba et ahban.cychelloworld ont été supprimées, les chercheurs ont supposé que leurs noms seraient définitivement retirés. Au lieu de cela, quelques semaines plus tard, fin mars, une nouvelle extension — ahbanC.shiba — est apparue sur le Marketplace portant le même code malveillant que ses prédécesseurs. Cela a alarmant prouvé que les noms d’extensions supprimées sur le Marketplace de VS Code n’étaient pas du tout verrouillés, mais pouvaient être librement réutilisés.

La faille cachée du Marketplace

Pour comprendre pourquoi cela s’est produit, RL a examiné le système de gestion des extensions du Marketplace. Leur enquête a révélé que le problème réside dans la façon dont VS Code gère les suppressions d’extensions. Les éditeurs du Marketplace ont deux options : dépublier ou supprimer.

• Les extensions dépubliées disparaissent du Marketplace mais restent liées à leur nom et à leurs statistiques d’origine. Elles ne peuvent pas être republées par quiconque. En d’autres termes, personne d’autre ne peut revendiquer le nom.
• Les extensions supprimées, en revanche, sont complètement effacées du Marketplace. Cela signifie que leurs noms redeviennent disponibles, permettant à quiconque — y compris des acteurs malveillants — de les revendiquer et de publier du code malveillant sous le même nom.

En d’autres termes, une fois qu’une extension légitime est supprimée, son nom de confiance est effectivement à saisir. RL a confirmé cela en publiant avec succès des extensions de test utilisant des noms liés à des paquets précédemment supprimés, y compris ceux ayant un historique de logiciels malveillants, comme Solidity-Ethereum.

Un problème plus large dans les écosystèmes open-source

Ce n’est pas la première fois que la réutilisation de noms a été exploitée. Au début de 2023, RL a découvert que l’Index des paquets Python (PyPI) permettait également la réutilisation de noms pour des paquets supprimés. Un paquet malveillant, termcolour, est réapparu des années après que l’original légitime ait été supprimé.

Bien que PyPI ait depuis mis en œuvre des restrictions pour empêcher la réutilisation de noms associés à des paquets malveillants, le Marketplace de VS Code n’a pas de telles protections en place.

« La découverte de cette faille expose une nouvelle menace : le nom de toute extension supprimée peut être réutilisé, et par quiconque. Cela signifie que si une extension légitime et très populaire est supprimée, son nom est à saisir », a écrit Lucija Valenti, chercheuse en menaces logicielles chez ReversingLabs, dans un article de blog.

Ce que les développeurs peuvent faire

Bien que Microsoft n’ait pas encore annoncé de solution pour la faille du Marketplace, les experts en sécurité soulignent que les développeurs doivent rester vigilants. Ils recommandent de vérifier soigneusement les extensions avant l’installation, même si les noms semblent familiers, et de vérifier les comptes des éditeurs plutôt que de se fier uniquement aux noms des extensions.

De plus, une surveillance continue des dépendances avec des outils de sécurité capables de détecter des paquets malveillants est également conseillée. De plus, les développeurs peuvent utiliser des plateformes qui offrent des évaluations de risque gratuites à travers plusieurs dépôts, y compris le Marketplace de VS Code. **

« La leçon à tirer de cette campagne est qu’il est important de se rappeler que de nombreux dangers se cachent sur le Marketplace de VS Code et d’autres dépôts open-source. Il est essentiel pour les développeurs et les utilisateurs de ces plateformes d’être conscients de ce qui est inclus dans le cycle de développement », a conclu Valenti.