Extension Malveillante Vibe-Coded pour VS Code Découverte avec des Capacités de Ransomware Intégrées

Des chercheurs en cybersécurité ont découvert une extension malveillante pour Visual Studio Code (VS Code) nommée "susvsex" qui possède des capacités rudimentaires de ransomware. Cette extension, supposée avoir été créée avec l’aide de l’intelligence artificielle — souvent appelée malware « vibe-coded » — a été signalée par le chercheur de Secure Annex John Tuckner. Fait intéressant, l’extension ne tente pas de dissimuler sa nature malveillante. Elle a été mise en ligne le 5 novembre 2025 par un utilisateur se faisant appeler "suspublisher18" avec une description minimaliste, "Just testing," et une adresse e-mail manifestement fausse : "donotsupport@example.com." La fonctionnalité déclarée de l’extension est de zipper automatiquement, téléverser et chiffrer les fichiers d’un répertoire prédéfini (C:\Users\Public\testing sous Windows ou /tmp/testing sous macOS) lors de son premier lancement.\n\nMicrosoft a agi rapidement et, dès le 6 novembre, avait déjà retiré l’extension du Marketplace officiel de VS Code. La routine malveillante principale de l’extension, appelée "zipUploadAndEncrypt," s’active automatiquement à tout événement déclencheur tel que l’installation ou le lancement de VS Code. Cette fonction compresse un dossier cible en une archive ZIP, l’envoie à un serveur distant, puis chiffre les fichiers dans ce répertoire, les rendant inaccessibles sans la clé de déchiffrement. Heureusement, le répertoire ciblé est par défaut un dossier de test, ce qui limite les dégâts actuels mais pourrait facilement être modifié via une mise à jour future ou par des commandes envoyées via un canal de commande et contrôle (C2) caché.\n\nÀ propos du C2, le malware utilise astucieusement des dépôts GitHub comme centre de commande. Il interroge périodiquement un dépôt GitHub privé pour de nouvelles commandes en lisant un fichier "index.html" et écrit les résultats d’exécution dans un fichier "requirements.txt" en utilisant un jeton d’accès GitHub codé en dur intégré dans l’extension. Le compte GitHub lié, "aykhanmv," reste actif, le développeur affirmant être basé à Bakou, Azerbaïdjan. Des commentaires détaillés, des fichiers README avec instructions d’exécution et des variables placeholders laissées dans le code suggèrent fortement une création assistée par IA, ou « vibe coding ». Par erreur, le paquet de l’extension incluait des composants cruciaux tels que des outils de déchiffrement, du code serveur et des jetons GitHub, permettant potentiellement à d’autres de détourner l’infrastructure C2.\n\nDans une découverte connexe, Datadog Security Labs a identifié 17 paquets npm malveillants se faisant passer pour des kits de développement logiciel (SDK) légitimes. Ces paquets, mis en ligne entre le 21 et le 26 octobre 2025 par des comptes nommés "aartje" et "saliii229911," installent furtivement le voleur d’informations Vidar sur les systèmes compromis. C’est la première fois que Vidar est distribué via le registre npm. Bien que les comptes aient été rapidement bannis, les paquets avaient déjà été téléchargés plus de 2 200 fois, beaucoup de téléchargements pouvant être dus à des scrapers automatisés.\n\nLe mécanisme d’attaque dans ces paquets npm repose sur des scripts postinstall définis dans leurs fichiers "package.json." Ces scripts téléchargent une archive ZIP depuis un serveur externe et exécutent le malware Vidar contenu à l’intérieur. Les variantes utilisent différentes méthodes : certaines exécutent un script PowerShell avant d’exécuter du JavaScript pour compléter la chaîne d’infection. Les échantillons de Vidar analysés par Datadog utilisent des comptes Telegram et Steam codés en dur comme points de dépôt mort pour localiser les serveurs de commande réels. Les chercheurs supposent que les différentes implémentations postinstall aident à échapper à la détection en variant les signatures comportementales.\n\nCes incidents s’ajoutent à une liste croissante d’attaques sur la chaîne d’approvisionnement ciblant les écosystèmes open source comme npm, PyPI, RubyGems et Open VSX. Ils soulignent l’importance cruciale pour les développeurs d’être prudents, de vérifier attentivement les journaux de modifications et d’être conscients des vecteurs d’attaque courants tels que le typosquatting et la confusion de dépendances lors de l’intégration de paquets tiers. La montée des malwares assistés par IA et des compromissions de la chaîne d’approvisionnement de plus en plus sophistiquées souligne un besoin urgent d’améliorer les pratiques de sécurité dans les communautés de développement logiciel.