Une nouvelle offensive de la campagne GlassWorm cible l’écosystème OpenVSX avec 73 extensions « dormantes » qui deviennent malveillantes après une mise à jour.
Actuellement, six de ces extensions ont été activées et sont responsables de la diffusion de logiciels malveillants. Les chercheurs estiment avec une forte probabilité que les autres extensions soient soit inactives, soit suspectes.
Lors de leur téléchargement initial, ces extensions paraissent inoffensives, mais elles transfèrent un payload à un moment ultérieur, dévoilant ainsi les véritables intentions de l’attaquant.
Selon des experts en sécurité des applications de la société Socket, « ce nombre pourrait évoluer avec l’apparition continue de nouvelles mises à jour, mais le schéma est similaire aux précédentes vagues de GlassWorm. »
La campagne GlassWorm est une attaque en chaîne d’approvisionnement observée pour la première fois en octobre, utilisant des caractères Unicode invisibles pour dissimuler un code malveillant dédié au vol de données de portefeuilles de crypto-monnaies et d’identifiants de développeurs.
Cette campagne s’est étendue à divers écosystèmes, y compris les dépôts GitHub, les paquets npm, ainsi que le Marketplace de Visual Studio Code et OpenVSX. Des utilisateurs de macOS ont également été ciblés avec des clients de portefeuilles crypto tronqués.
Une récente vague d’attaques, survenue en mars 2026, a montré une ampleur significative, affectant des centaines de dépôts et de nombreuses extensions.
Cependant, de telles opérations émettent souvent du bruit et laissent des traces, permettant à plusieurs équipes de recherche distinctes de détecter l’activité tôt et de contribuer à son blocage.
Cette dernière attaque indique que l’attaquant modifie sa stratégie en soumettant des extensions inoffensives à un seul écosystème et en introduisant le payload malveillant dans une mise à jour ultérieure, au lieu de l’incorporer directement.
Selon Socket, les 73 extensions impliquées dans cette campagne sont des clones de listes légitimes, conçues pour tromper les développeurs peu attentifs aux détails visuels.
Dans un cas particulier, l’attaquant a utilisé la même icône qu’une extension légitime et a adopté un nom et une description similaires. Bien que des différences subtiles existent, les principaux indicateurs restent le nom de l’éditeur et l’identifiant unique.
Au lieu de transporter le malware, les extensions agissent maintenant comme de « légers chargeurs » qui récupèrent le contenu malveillant via plusieurs méthodes :
- L’extension récupère un package VSIX secondaire depuis GitHub en cours d’exécution et l’installe avec des commandes CLI.
- Les extensions chargent des modules compilés spécifiques à la plateforme (.node) contenant la logique principale, y compris la récupération de payloads supplémentaires et l’exécution de routines d’installation sur les éditeurs pris en charge.
- Certaines variantes dépendent entièrement d’un JavaScript fortement obfusqué qui se déchiffre à l’exécution pour récupérer et installer des extensions malveillantes, intégrant parfois des URL de secours ou chiffrées pour le téléchargement de payloads.
Socket n’a pas fourni de détails techniques concernant le dernier payload. Dans le passé, ces attaques visaient à voler des données de portefeuilles de crypto-monnaies, des identifiants, des tokens d’accès, des clés SSH et des données d’environnement de développement.
La société de cybersécurité a publié la liste complète des 73 extensions suspectées d’appartenir à la dernière vague de GlassWorm. Les développeurs ayant installé l’une de ces extensions sont fortement conseillés de renouveler tous leurs secrets et de nettoyer leur environnement.