Attention aux extensions VS Code malveillantes qui volent les portefeuilles crypto des développeurs

Alerte rouge les amis !! Il y a actuellement des extensions VS Code qui volent discrètement des portefeuilles crypto. Et je ne parle pas d’une ou deux extensions pourries, mais d’une véritable campagne orchestrée par un groupe nommé WhiteCobra qui a réussi à placer 24 extensions malveillantes sur le VS Code Marketplace et Open VSX.

C’est l’histoire de Zak Cole, un développeur Ethereum qui bosse dans la crypto depuis plus de 10 ans. Le mec avait une sécurité béton, jamais perdu un seul wei aux mains des hackers. Mais même les plus prudents peuvent tomber dans le piège. Zack a installé une extension qui s’appelait contractshark.solidity-lang sur Cursor. Pour rappel, Cursor est un éditeur de code basé sur VS Code qui utilise le même système d’extensions. L’extension avait tout pour plaire : 54 000 téléchargements, une icône qui faisait pro, une description détaillée. Le piège parfait.

En quelques minutes, l’extension a lu son fichier .env, chopé sa clé privée et l’a envoyée sur un serveur pirate. Son portefeuille a ensuite été vidé. Heureusement pour lui, il utilisait des hot wallets séparés pour les tests avec seulement quelques centaines de dollars dedans mais d’autres n’ont pas eu cette chance. WhiteCobra serait responsable d’un vol de 500 000 dollars via une extension malveillante pour Cursor.

Le truc vraiment vicieux avec WhiteCobra, c’est leur niveau d’organisation. Ils ont toute une infrastructure sophistiquée et des techniques pour faire grimper artificiellement le nombre de téléchargements de leurs extensions malveillantes. Et d’après les informations disponibles, leur méthode est assez efficace puisque l’extension contient du code malveillant qui télécharge ensuite un payload supplémentaire, avec des versions spécifiques pour Windows, macOS ARM et macOS Intel.

Sur Windows, le malware installé est LummaStealer, spécialisé dans le vol de portefeuilles crypto, d’extensions web, de mots de passe stockés dans les navigateurs et même de données d’applications de messagerie. Sur macOS, c’est un binaire malveillant qui s’exécute localement.

Ce qui rend ces attaques dangereuses, c’est surtout la vitesse à laquelle WhiteCobra peut rebondir. Ils sont capables de déployer rapidement de nouvelles campagnes après qu’une extension malveillante ait été supprimée. Ils changent les noms, les descriptions, créent de nouveaux comptes développeurs et c’est reparti.

Le problème de fond, c’est que ni Microsoft ni Open VSX n’ont de mécanismes de vérification vraiment efficaces. Microsoft fait bien passer un antivirus sur les extensions, mais ça ne détecte pas ce genre de comportement malveillant sophistiqué. Open VSX, qui est actuellement utilisé par Cursor et Windsurf, héberge toujours ces extensions malveillantes malgré les signalements.

Alors comment se protéger ? Déjà, méfiez-vous des extensions avec des noms qui ressemblent à des projets connus mais avec une petite variation (c’est du typosquatting). Vérifiez aussi toujours qu’il y a un repository GitHub lié et actif. Regardez les reviews avec attention, car les fausses sont souvent génériques et postées en masse sur une courte période.

Suite à cette attaque, Zak Cole a complètement revu sa façon de bosser après s’être fait avoir. Il utilise maintenant des machines virtuelles isolées, des hardware wallets exclusivement, et des coffres-forts chiffrés pour ses secrets. Il a aussi créé une whitelist d’extensions et évite d’installer de nouveaux outils à la va-vite.

Bref, si vous êtes développeur, faites un audit immédiat de vos extensions installées. Changez vos clés. Et surtout, arrêtez de stocker des informations sensibles dans des fichiers .env en clair. Utilisez des gestionnaires de secrets ou au minimum du chiffrement.

En tout cas, cette campagne WhiteCobra n’est pas terminée. Ils continuent d’uploader de nouvelles extensions malveillantes pour remplacer celles qui sont supprimées… c’est un vrai jeu du chat et de la souris permanent entre eux et les équipes de sécurité. En attendant que Microsoft et Open VSX mettent en place de vraies mesures de sécurité, c’est donc à nous de rester vigilants.