Il y a environ 2 heures, nous avons détecté trois autres extensions sur Open VSX qui ont été compromises par l'acteur de menace que nous documentons depuis mars, utilisant des caractères non imprimables. La semaine dernière, nous avons identifié qu'ils avaient également commencé à compromettre des dépôts GitHub. Aujourd'hui, nous observons une nouvelle vague d'attaques contre des extensions Open VSX légitimes.
Les trois que nous avons identifiées au moment de la rédaction sont :
- adhamu/history-in-sublime-merge@1.3.4 (4k téléchargements)
- yasuyuky/transient-emacs@0.23.1 (2,4k téléchargements)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3k téléchargements)
À l'heure actuelle, nous avons informé Open VSX de notre découverte et tentons également de contacter les mainteneurs.
Mise à jour Open VSX du 27 octobre
Cette vague fait suite à une mise à jour de sécurité publiée par Open VSX (Eclipse Foundation) le 27 octobre, reconnaissant les attaques survenues et décrivant les défenses qu'ils prévoient de mettre en place :
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
À l'époque, ils pensaient que l'incident était entièrement maîtrisé. Cependant, les événements d'aujourd'hui suggèrent que cette situation est malheureusement toujours en cours et que nous n'en avons pas encore vu la fin.
Même si nous assistons à une nouvelle vague de cette attaque, nous félicitons Open VSX pour les actions qu'ils prévoient de prendre. L'analyse automatisée des extensions lors de la publication est particulièrement importante, car c'est également ce que nous faisons ici chez Aikido. Cependant, nous ne pouvons pas analyser les extensions avant leur publication. Si elle est mise en œuvre correctement, cette mesure protégera contre de nombreuses attaques dans l'écosystème. Nous saluons cette initiative de l'Eclipse Foundation.
Une saga en cours
Il est difficile de se défendre contre ce que l'on ne voit pas, comme c'est le cas avec cette attaque spécifique. Mais depuis le tout début, nous suivons cet acteur de la menace depuis mars et en avons fait une couverture approfondie. Nos publications précédentes et nos informations techniques restent pertinentes, et nous continuerons à publier plus d'informations si/à mesure que les choses évoluent.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
