Développeurs sous siège : comment de faux outils de codage se sont transformés en cauchemars de vol de données

Tout a commencé par un clic innocent : un nouveau thème pour égayer l’espace de travail, un assistant IA promettant de booster la productivité. Mais pour des dizaines de développeurs, ces téléchargements ont ouvert une porte dérobée numérique, permettant à des cybercriminels d’espionner leur code, leurs e-mails et leurs secrets. Dans une nouvelle vague d’attaques, des chercheurs ont découvert une série de paquets et d’extensions malveillants infiltrant les outils mêmes auxquels les développeurs font le plus confiance - de Visual Studio Code à npm, en passant par les bibliothèques Go et Rust.

Le cheval de Troie dans votre boîte à outils

Les experts en cybersécurité de Koi Security et Socket ont tiré la sonnette d’alarme après avoir détecté une nouvelle génération d’outils de développement infectés par des malwares. Deux extensions Visual Studio Code, déguisées en thème sombre premium et en assistant de codage alimenté par l’IA, ont réussi à s’introduire sur la Marketplace officielle. Leurs noms - BigBlack.bitcoin-black et BigBlack.codo-ai - paraissaient anodins, mais leurs actions ne l’étaient pas.

Une fois installées, ces extensions faisaient bien plus que modifier des couleurs ou suggérer du code. Elles téléchargeaient discrètement des charges malveillantes supplémentaires, prenaient des captures d’écran en secret et aspiraient tout, du code aux e-mails, en passant par les messages Slack et les sessions de navigateur. Les attaquants ne se sont pas contentés d’espionner : ils visaient aussi les mots de passe WiFi, les données du presse-papiers et détournaient même les cookies de navigateur pour s’emparer des sessions utilisateur.

La sophistication technique était au rendez-vous. Les premières versions utilisaient des scripts PowerShell pour récupérer des archives de malwares cachées, qui étaient ensuite décompressées à l’aide de divers utilitaires Windows. Les mises à jour ultérieures ont simplifié l’attaque, dissimulant le processus et passant à des scripts batch utilisant curl pour télécharger des fichiers malveillants. Les attaquants ont même exploité des logiciels légitimes - comme l’outil de capture d’écran Lightshot - pour charger leur code malveillant via une technique appelée détournement de DLL.

Une toile de menaces à travers les écosystèmes

La menace ne s’est pas arrêtée à VS Code. Les chercheurs de Socket ont trouvé des attaques similaires dans d’autres écosystèmes de programmation. Dans Go, des paquets typosquattés imitaient des bibliothèques de confiance et exfiltraient des données sensibles à chaque appel d’une certaine fonction. L’écosystème npm a vu un déluge de paquets suspects, certains conçus pour ouvrir des shells inversés et transférer des fichiers vers des serveurs distants. Même Rust n’a pas été épargné : un faux crate “finch” cachait une seule ligne de code chargeant une charge de vol d’identifiants, camouflée parmi des fonctions légitimes.

Le point commun ? Les attaquants misent sur la confiance des développeurs - et sur la probabilité que des programmeurs pressés ne remarqueront pas une ligne malveillante noyée dans une mer de code ou une extension anodine dans une marketplace saturée.