Le 19 mai, GitHub a révélé qu'il enquêtait sur un accès non autorisé à des dépôts internes. TeamPCP affirme avoir extrait des données d'environ 4 000 dépôts privés. Le vecteur signalé : une extension VS Code malveillante installée sur le poste de travail d'un développeur.
À l'heure actuelle, nous ne savons pas quelle extension ni quelle machine a été impactée. Ce que nous savons, c'est qu'il s'agit d'un nouveau cas d'appareils de développeurs compromis par des outils auxquels ils font implicitement confiance. Et nous avons un exemple récent clair de la façon dont cela fonctionne.
La veille seulement, l'extension Nx Console VS Code, forte de 2,2 millions d'installations et d'un statut d'éditeur vérifié, a été brièvement compromise par une porte dérobée. La version malveillante a collecté silencieusement des justificatifs dès qu'un développeur ouvrait un espace de travail. La communauté, y compris Aikido Intel, l'a rapidement détectée, la version étant retirée en 18 minutes du VS Code Marketplace et en 36 minutes d'Open VSX.
MISE À JOUR : GitHub a confirmé que la brèche était due à une vulnérabilité dans l'extension Nx Console VS Code.
Officiel ne signifie plus qu'il est sûr de l'installer immédiatement
La confiance, et non la sophistication, est ce qui rend efficaces les attaques comme Nx Console, Durable Task Python SDK et la campagne Mini Shai-Hulud à travers l'écosystème AntV. Il ne s'agit pas de paquets et d'extensions douteux provenant d'éditeurs inconnus. Ce sont des outils que les développeurs utilisent sans hésiter, précisément parce qu'ils affichent un nombre élevé d'installations, un badge d'éditeur vérifié et une légitimité sur le marketplace qui signalent la sécurité.
Ce signal est désormais la cible. Un nombre élevé d'installations signifie une compromission de grande valeur. Un éditeur vérifié signifie que les développeurs n'hésitent pas. Un marketplace officiel signifie que personne ne pense à vérifier.
La communauté s'améliore pour détecter ces attaques, cependant, le modèle d'attaque en tient compte. Il ne lui faut que des minutes, pas des jours.
Comment Aikido résout ce problème
Au début du printemps, nous avons lancé Device Protection, un agent sur l'appareil conçu pour protéger contre les menaces provenant des paquets, des extensions et des outils d'IA comme les serveurs MCP. Il combine 2 fonctionnalités critiques qui stoppent les attaques comme Nx Console.
Blocage des malwares en temps réel : Device Protection vérifie chaque installation de paquet et d'extension, y compris les mises à jour, par rapport au flux de malwares en direct d'Aikido. Si une extension est signalée comme malware, l'installation est bloquée, sans exception.
Blocage par âge minimum : Device Protection inclut un âge minimum configurable pour les paquets et extensions récemment publiés. Par défaut, tout paquet ou extension publié au cours des dernières 48 heures est bloqué avant de pouvoir être installé sur un appareil. Il est important de noter que l'âge minimum s'applique aux nouvelles mises à jour, et pas seulement aux nouvelles installations. Les administrateurs peuvent étendre ou réduire cette fenêtre en fonction de leur tolérance au risque spécifique pour chaque écosystème. Il est important de noter qu'Aikido Device Protection revient automatiquement à la version sûre la plus récemment publiée, de sorte que votre équipe est protégée, et non bloquée.
La version malveillante de Nx Console est restée active pendant 18 minutes. Les packages du Durable Task SDK ont été détectés quelques heures après leur publication. Les deux cas se situent bien en deçà de la période de rétention de 48 heures. Selon cette politique, aucun n'aurait atteint une machine de développeur, ajoutant une protection au-delà de la détection instantanée de logiciels malveillants en bloquant la fenêtre d'attaque elle-même.
Aikido Device Protection déplace l'application des politiques de sécurité vers l'appareil, et non vers la périphérie du réseau. Un développeur utilisant une connexion domestique, le Wi-Fi d'un hôtel ou un point d'accès personnel est entièrement en dehors des contrôles du réseau d'entreprise. L'agent d'Aikido applique la politique directement sur le poste de travail, où qu'il se trouve.
L'EDR ne couvre pas cette surface d'attaque
Le payload de Nx Console était un script JavaScript de 2 777 octets injecté dans un fichier minifié. Le SDK Durable Task était un script Python de 28 Ko. Aucun des deux ne ressemble à un malware pour un scanner binaire, car aucun n'est un binaire. Le payload de Nx Console lisait les fichiers .env. Ce que fait chaque développeur, des dizaines de fois par jour. L'EDR n'a aucune signature à laquelle le comparer.
L'EDR traditionnel surveille les exécutables compilés à la recherche de signatures connues. Les extensions VS Code, les packages npm et les distributions PyPI sont des artefacts interprétés en texte brut, situés sur une couche entièrement différente. Aikido surveille cette couche : npm, PyPI, VS Code Marketplace, JetBrains, Cursor, Windsurf. Il couvre cette surface précisément parce que l'EDR ne le fait pas. Les deux outils ne sont pas redondants. Ils surveillent des éléments différents.
La capacité de la communauté à détecter et à supprimer les packages malveillants est réelle. Pour les extensions avec des millions d'installations, elle est également insuffisante. Détecté en 18 minutes et exposition évitée ne sont pas la même chose. Les âges minimaux des packages et des extensions sont le meilleur moyen de protéger vos appareils contre des attaques similaires aujourd'hui.
Vous pouvez en savoir plus sur Device Protection sur le site web d'Aikido ou l'essayer avec un compte d'essai gratuit.
