Lorsque Microsoft a créé VSCode, ils voulaient créer une solution pour les programmeurs qui pourrait être intégrée avec des extensions et des extras. Il a réussi à créer un outil qui a conquis le marché, mais qui peut encore être amélioré.
Une analyse récente du Marketplace qui sert VSCode a révélé un scénario inquiétant. Il est très simple de placer des extensions malveillantes dans ce magasin et ainsi d’exploiter les données des utilisateurs, sans qu’ils aient conscience de ce danger.
Méfiez-vous des extensions VSCode
Pour quiconque aime la programmation, VSCode est un choix presque évident. Depuis sa présentation, il a conquis ce domaine, étant déjà utilisé par plus de 70% de tous ceux qui traitent quotidiennement avec différents langages de programmation.
Avec tous les outils supplémentaires auxquels il donne accès via des extensions, il devient encore meilleur et plus utile pour les développeurs. C’est précisément sur la Marketplace, où l’on accède aux extensions, qu’une vulnérabilité très importante vient d’être découverte.
Aqua Nautilus a découvert que les attaquants peuvent facilement se faire passer pour des extensions VSCode et inciter les développeurs à les télécharger.
Cette méthode cible les développeurs via leurs IDE et pourrait potentiellement compromettre l’ensemble #Logiciel processus de développement. https://t.co/JzXc4T6tnG
— Aqua Sécurité (@AquaSecTeam) 6 janvier 2023
Microsoft Marketplace a un défaut évident
Ce qu’AquaSec a découvert, c’est qu’il est possible de placer des extensions dans ce magasin identiques aux extensions légitimes. Le détail va jusqu’à avoir le même nom, les mêmes descriptions et même les mêmes logos et images.
Lorsqu’une de ces extensions était installée, plusieurs actions devenaient possibles. Cela comprenait l’installation de programmes supplémentaires, le vol ou la falsification du code source dans VSCode, et même l’utilisation des clés SSH du développeur pour accéder aux référentiels GitHub liés.
La faille est déjà exploitée par des attaquants
La chose la plus inquiétante à propos de cette découverte est qu’il ne s’agit pas seulement d’un scénario hypothétique. Il existe déjà quelques extensions présentes sur la Marketplace qui en simulent d’autres qui ont beaucoup plus de succès et qui cherchent à voler les données des utilisateurs. L’un des exemples trouvés a adressé des requêtes à un serveur central, attendant une réponse positive pour lancer des actions malveillantes.
Le conseil à donner à ceux qui utilisent VSCode est de redoubler de prudence lors de l’installation d’extensions depuis la Marketplace. Validez le nom correct de ce que vous recherchez, évaluez le nombre d’installations et même les commentaires des autres utilisateurs. Il s’agit d’un danger réel et les conséquences peuvent être graves, en particulier dans les environnements d’entreprise.
Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :