Il y a environ deux heures, nous avons détecté trois autres extensions sur Open VSX qui ont été compromises par l'acteur malveillant que nous documentons depuis mars, à l'aide de caractères non imprimables. La semaine dernière, nous avons constaté qu'il avait également commencé à compromettre des référentiels GitHub. Aujourd'hui, nous observons une nouvelle vague d'attaques contre des extensions Open VSX légitimes.
Les trois que nous avons identifiés au moment de la rédaction sont :
- adhamu/history-in-sublime-merge@1.3.4 (4 000 téléchargements)
- yasuyuky/transient-emacs@0.23.1 (2,4 k téléchargements)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3 k téléchargements)
À l'heure actuelle, nous avons informé Open VSX de notre découverte et tentons également de contacter les responsables de la maintenance.
Mise à jour Open VSX du 27 octobre
Cette vague fait suite à une mise à jour de sécurité publiée par Open VSX (Fondation Eclipse) le 27 octobre, reconnaissant les attaques qui ont eu lieu et décrivant les mesures de défense qu'ils prévoient de mettre en place :
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
À ce moment-là, ils pensaient que l'incident était totalement maîtrisé. Cependant, les événements d'aujourd'hui suggèrent que cette situation est malheureusement toujours d'actualité et que nous n'en voyons pas encore la fin.
Alors même que nous assistons à une nouvelle vague de cette attaque, nous saluons les mesures que prévoit de prendre Open VSX. Le scan automatisé des extensions lors de leur publication est particulièrement important, car c'est également ce que nous faisons ici chez Aikido. Cependant, nous ne pouvons pas scanner les extensions avant leur publication. Si cette mesure est mise en œuvre correctement, elle permettra de protéger l'écosystème contre de nombreuses attaques. Nous saluons cette initiative de la Fondation Eclipse.
Une saga qui continue
Il est difficile de se défendre contre quelque chose que l'on ne voit pas, comme c'est le cas avec cette attaque spécifique. Mais depuis le début, nous suivons cet acteur malveillant depuis mars et avons largement couvert le sujet. Nos publications précédentes et nos informations techniques restent pertinentes, et nous continuerons à publier davantage d'informations si/lorsque la situation évoluera.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
Sécurisez votre logiciel dès maintenant.
.avif)
