09/12/2025
IT-Connect » Actualités » Actu Cybersécurité » Visual Studio Code : ces 2 extensions malveillantes volent vos données avec un malware infostealer

Visual Studio Code - ces 2 extensions malveillantes volent vos données avec un malware infostealer
Actu Cybersécurité

Visual Studio Code : ces 2 extensions malveillantes volent vos données avec un malware infostealer

Florian BURNEL 0 commentaire

Deux extensions malveillantes ont été découvertes sur la Marketplace de Visual Studio Code, dissimulant un infostealer capable de dérober vos cookies de sessions dans le navigateur et le contenu de votre portefeuille de crypto-monnaies. Voici ce que l'on sait sur ces menaces.

Pour rappel, les fonctionnalités de Visual Studio Code (VS Code) sont extensibles par l'intermédiaire d'extensions. D'ailleurs, Visual Studio Code n'est pas grand chose si l'on retire l'intégralité des extensions, car elles permettent la prise en charge des langages. Elles peuvent aussi permettre de personnaliser le thème de l'interface ou d'ajouter un Coding Assistant IA.

La marketplace de VS Code est donc un vecteur d'attaque potentiel pour les cybercriminels. La découverte de Koi Security évoquée dans cet article est un très bon exemple.

Le piège : un faux thème et une fausse IA

Les deux extensions malveillantes, publiées par un compte de développeur surnommé BigBlack, se nomment "Bitcoin Black" et "Codo AI". La première, c'est un thème sombre pour Visual Studio Code, tandis que la seconde est un assistant au code basé sur l'IA.

Si l'on regarde de plus près, l'extension Codo AI propose réellement des fonctionnalités basées sur l'IA, en s'appuyant sur ChatGPT ou DeepSeek. Cela crédibilise l'extension ! Le problème, c'est que Bitcoin Black et Codo AI contiennent toutes les deux un logiciel malveillant !

D'après Koi Security, voici deux points intéressants sur le fonctionnement de l'extension Bitcoin Black :

  • Elle utilise un événement d'activation *, ce qui signifie que son code s'exécute à chaque action effectuée dans VS Code.
  • Alors que les premières versions lançaient une fenêtre PowerShell visible (ce qui pouvait alerter l'utilisateur) lors du déploiement, les versions récentes sont beaucoup plus furtives. Désormais, un script Batch s'appuie sur curl pour télécharger une DLL et un exécutable, sans afficher de fenêtre.

En réalité, il télécharge un exécutable légitime de l'outil de capture d'écran Lightshot et une DLL malveillante. Grâce à la technique connue sous le nom de DLL hijacking (détournement de DLL), le fait de lancer l'outil légitime charge automatiquement la bibliothèque infectée ! Cette opération aura pour effet de déployer le logiciel malveillant sur la machine locale.

À l'heure actuelle, cette DLL malveillante est détectée par 37 solutions de sécurité sur 71 référencées sur VirusTotal (voir cette page).

L'impact de l'infostealer

Une fois actif, le logiciel malveillant crée un répertoire nommé "Evelyn" dans le dossier %APPDATA%\Local\ du profil de la victime. Ce dossier va lui servir à stocker toutes les données dérobées avant de procéder à l'exfiltration. Il récupère notamment des informations sur les processus en cours, le contenu du presse-papier, les identifiants Wi-Fi mémorisés, les informations système, et la liste des programmes installés. Le malware effectue aussi des captures d'écran de l'écran de votre machine.

Mais le malware ne s'arrête pas là, car il a aussi deux cibles prioritaires :

  • Vols de sessions : le malware lance les navigateurs Google Chrome et Microsoft Edge en tâche de fond (headless mode) pour extraire les cookies stockés et les sessions de navigation. Ainsi, c'est invisible pour l'utilisateur.
  • Portefeuilles Crypto : ll scanne la machine à la recherche de portefeuilles de crypto-monnaies populaires comme Phantom, Metamask ou Exodus pour siphonner le contenu.

Voici, à titre d'exemple, la commande utilisée pour lancer Chrome :

chrome.exe --headless=new --disable-gpu --no-sandbox
  --window-position=-10000,-10000 --window-size=1,1
  --incognito about:blank

Ce n'est pas la première fois que des extensions malveillantes sont identifiées sur la Marketplace de VSCode. En juin 2024, des chercheurs avaient publié un rapport après avoir identifié des milliers d'extensions malveillantes sur la Markplace de VS Code.

Dans le cas présent, les deux extensions sont désormais introuvables, ce qui évite qu'elles piègent de nouvelles victimes. Comme toujours, vous devez être vigilant. Vous pouvez visiter cette page pour accéder au rapport complet de Koi Security.

Source

Image d'illustration générée par IA.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Voir la bio complète
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Fin de partie pour Diskstation - ce ransomware ciblait les NAS Synology

Fin de partie pour Diskstation : ce ransomware ciblait les NAS Synology

Florian BURNEL 0
Outil de déchiffrement gratuit pour le ransomware FunkSec

Ransomware FunkSec : un outil de déchiffrement gratuit a été publié par Avast

Florian BURNEL 0

Allemagne : un décès lié à une attaque par ransomware

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.