En bref

  • 72 extensions du marketplace Open VSX — utilisé par VS Code, VSCodium, Gitpod et Eclipse Theia — ont été compromises dans une attaque supply chain baptisée GlassWorm.
  • Les extensions piégées exfiltrent silencieusement tokens API, clés SSH, identifiants cloud et variables d'environnement depuis les machines des développeurs touchés.
  • Vérifiez immédiatement vos extensions installées contre la liste publiée, révoquez vos secrets potentiellement exposés et adoptez le pinning SHA pour les extensions utilisées en CI/CD.

Ce qui s'est passé

Des chercheurs en sécurité ont mis au jour cette semaine une campagne d'attaque supply chain de grande ampleur ciblant le marketplace Open VSX, l'alternative open source au marketplace officiel de Visual Studio Code, utilisée notamment par VSCodium, Gitpod, Eclipse Theia et de nombreux environnements de développement cloud. L'attaque, surnommée GlassWorm par les équipes de threat intelligence de The Hacker News, a compromis 72 extensions populaires en injectant du code malveillant capable d'identifier et d'exfiltrer des secrets présents sur la machine de développement : tokens d'API GitHub, GitLab et Bitbucket, clés SSH, variables d'environnement contenant des identifiants AWS, GCP ou Azure, fichiers de configuration Kubernetes et Docker, mots de passe de bases de données et même des portefeuilles de cryptomonnaies. Le vecteur initial d'infection repose sur la compromission des comptes de mainteneurs via du credential stuffing — les attaquants ont exploité des adresses email réutilisées dans d'autres fuites de données pour accéder aux comptes de publication sur le registre Open VSX. Une fois le compte d'un mainteneur compromis, l'attaquant publie discrètement une nouvelle version mineure de l'extension — suffisamment anodine pour ne pas déclencher d'alertes — avec le payload malveillant intégré. Les 72 extensions ciblées totalisent plusieurs millions d'installations cumulées.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Le mécanisme d'exfiltration de GlassWorm est sophistiqué : le code malveillant attend que l'extension légitime soit chargée, puis effectue une analyse récursive des répertoires home et workspace à la recherche de fichiers de configuration sensibles, en évitant délibérément les chemins standards de détection pour rester sous le radar des solutions EDR classiques. Les données collectées sont chiffrées et exfiltrées vers une infrastructure de command-and-control distribuée sur des hébergeurs légitimes abusés, rendant le trafic difficile à distinguer d'une activité normale. Cette approche rappelle fortement les méthodes documentées dans notre analyse de l'attaque supply chain sur Trivy via GitHub Actions et de la campagne Shai-Hulud 2 sur npm : les attaquants ciblent systématiquement les outils de développement et de sécurité eux-mêmes, sachant que leur présence dans les pipelines garantit un accès privilégié à des environnements sensibles. La période de compromission estimée s'étend du 10 au 19 mars 2026.

Open VSX a réagi rapidement en supprimant les 72 extensions compromises dès réception de la divulgation responsable, et en invalidant les tokens de publication de tous les comptes de mainteneurs affectés. Cependant, les développeurs ayant installé ces extensions durant la fenêtre de compromission doivent considérer leurs secrets comme potentiellement exposés et procéder à une rotation complète de leurs identifiants. La liste complète des extensions compromises est disponible dans l'avis de sécurité publié par The Hacker News. Notre section DevSecOps centralise les bonnes pratiques pour protéger vos pipelines contre ce type d'attaque, et notre tableau de bord cybersécurité suit en temps réel les menaces supply chain affectant l'écosystème du développement logiciel.

Pourquoi c'est important

Les attaques supply chain ciblant les outils de développement sont particulièrement dévastatrices pour une raison structurelle : elles touchent les développeurs, qui disposent par définition d'un accès privilégié aux systèmes de production. Un développeur compromis, c'est potentiellement l'accès à des dépôts de code source propriétaires, à des environnements de staging et de production, à des pipelines CI/CD complets, et à des identifiants cloud avec des permissions étendues. La surface d'impact réel dépasse largement la machine individuelle affectée. GlassWorm s'attaque de surcroît à un écosystème — Open VSX — qui bénéficiait jusqu'ici d'une attention sécurité moindre que les marketplaces officiels, précisément parce qu'il est perçu comme plus ouvert et moins exposé aux acteurs malveillants commerciaux. Cette perception est une vulnérabilité en soi. Les organisations qui déploient des environnements de développement cloud (Gitpod, GitHub Codespaces, Eclipse Theia) doivent impérativement auditer les extensions autorisées, mettre en place une liste blanche approuvée et imposer la vérification par empreinte SHA de toutes les extensions utilisées dans leurs pipelines automatisés.

Ce qu'il faut retenir

  • Vérifiez immédiatement vos extensions VS Code et VSCodium contre la liste des 72 extensions GlassWorm compromises — toute version publiée entre le 10 et le 19 mars 2026 est suspecte.
  • Révoquez et régénérez tous les secrets potentiellement exposés : tokens GitHub/GitLab/Bitbucket, clés AWS/GCP/Azure, clés SSH — considérez tout secret présent sur les machines affectées comme compromis.
  • Adoptez le pinning par empreinte SHA pour les extensions utilisées en pipeline CI/CD, et n'installez que des extensions d'éditeurs vérifiés disposant d'un historique de publication transparent et régulier.

Comment vérifier si mes extensions VSCode font partie des 72 compromises par GlassWorm ?

Consultez la liste complète des extensions compromises publiée dans l'avis de sécurité GlassWorm sur The Hacker News. Dans VS Code, accédez à l'onglet Extensions (Ctrl+Shift+X) et comparez vos extensions installées avec la liste. Vérifiez l'historique des versions de chaque extension suspecte : une mise à jour mineure publiée entre le 10 et le 19 mars 2026 est un signal d'alerte fort. En parallèle, auditez vos fichiers ~/.gitconfig, ~/.ssh/, ~/.aws/credentials et vos fichiers .env locaux pour identifier les secrets potentiellement exfiltrés. Utilisez TruffleHog pour scanner vos dépôts à la recherche de secrets exposés dans votre historique git et dans vos branches récentes.

Article suivant recommandé

Un hacker russe condamné à 81 mois pour ransomware →

Un hacker russe condamné à 81 mois pour avoir vendu des accès réseau à des gangs de ransomware. Il doit rembourser 9,1 m

Découvrez mon dataset

sbom-supply-chain-fr

Dataset SBOM et supply chain bilingue FR/EN

Voir →

Points clés à retenir

  • Contexte : GlassWorm Piège 72 Extensions VSCode pour Voler des Secrets — un sujet critique pour la cybersécurité des organisations
  • Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
  • Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Termes clés

  • cyberattaque
  • ransomware
  • phishing
  • vulnérabilité
  • patch
  • zero-day
  • CERT
  • ANSSI

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.