Microsoft et d’autres fournisseurs minimisent la menace, mais la sécurité d’Ox avertit que l’exploit est toujours actif.
Les développeurs dans les environnements de développement intégrés populaires (IDE) comme Visual Studio Code, Visual Studio, IntelliJ Idea et Cursor sont à risque d’extension malveillante marquée comme «vérifiée».
Un nouveau rapport d’Ox Security a révélé que les attaquants peuvent manipuler des vérifications de vérification sur ces éditeurs de code afin que les extensions malveillantes semblent dignes de confiance pour les utilisateurs sans méfiance.
« Les recherches d’Ox, menées en mai et juin 2025, révèlent des vulnérabilités de sécurité critiques dans la façon dont les IDE gèrent la vérification des extensions », ont déclaré les chercheurs d’Ox dans un article de blog. «Nous avons découvert (par exemple) que les vérifications de vérification erronées dans le code Visual Studio permettent aux éditeurs d’ajouter des fonctionnalités aux extensions tout en conservant l’icône vérifiée.»
Les chercheurs ont démontré une preuve de concept qui a utilisé les mêmes valeurs de vérification que les extensions officielles de Microsoft (qui ont développé VSCODE). Une fois installé, l’extension a conservé son statut «vérifié» tout en exécutant silencieusement les commandes au niveau OS, à partir de quelque chose d’aussi trivial que le lancement d’une calculatrice à des tâches dangereuses telles que l’exfiltration de données ou l’ouverture de reprises.
Ox Security a confirmé que l’exploit était actif jusqu’en juin 2025 malgré le fait qu’il ait été porté à l’avis des vendeurs. Microsoft, l’opérateur de VSCODE et Visual Studio, aurait répondu à la divulgation disant que le cas est «par conception» et n’a pas besoin d’attention supplémentaire.
Les symboles vérifiés peuvent être truqués
Une fois considéré comme un indicateur fiable de la confiance, l’icône bleue «Check» à côté du nom d’une extension peut désormais être usurpé. Les attaquants peuvent reproduire les jetons de vérification, contourner essentiellement les vérifications d’identité et injecter du code voyou tout en préservant l’insigne vérifié.
« Nous avons analysé le trafic effectué par VSCODE et découvert une demande à Marketplace.VisualStudio.com qui permet au serveur de déterminer si une extension est vérifiée », ont déclaré des chercheurs, ajoutant qu’ils ont trouvé où les données de vérification sont stockées et ont compris comment la modifier.
En utilisant cela, ils ont construit une extension malveillante qui a copié les valeurs de vérification de confiance, ce qui le rend légitime. Emballé sous forme de fichier VSIX, l’extension fabriquée a exécuté des commandes comme l’ouverture de la calculatrice et pourrait être partagée sur des plates-formes comme GitHub, où les développeurs pourraient l’installer sans le savoir.
Les extensions de VSCODE malveillantes sont déjà une réalité alors que des menaces similaires ont récemment émergé sur le marché VScode, où Faux Tools ont téléchargé des mineurs de crypto ou d’autres logiciels malveillants en abusant de leur statut de confiance.
Les extensions d’écoulement latérales sont particulièrement vulnérables
Après avoir confirmé le comportement sur VSCODE, OX a prolongé leur enquête sur d’autres plateformes, notamment Visual Studio, IntelliJ Idea et Cursor.
Les chercheurs ont déclaré qu’en dépit des différences de structures de fichiers et de mécanismes de vérification sur les plateformes, ils ont pu identifier les demandes utilisées pour la vérification et localiser les valeurs pertinentes dans les extensions. Ils ont ajouté qu’en modifiant ces valeurs, ils ont réussi à créer des extensions qui ont conservé leur statut vérifié.
Selon l’OX Security, lorsqu’il a informé Microsoft de la faille de vérification, Microsoft a répondu en disant: «Après une enquête minutieuse, cette affaire a été évaluée comme par conception et ne répond pas à la barre de Microsoft pour une vérification immédiate. Ceci est conçu sur toutes les plates-formes. L’attaquant ne sera pas possible de publier ce marché à l’équipe, donc la chute.
Microsoft a en outre déclaré à OX Security qu’une équipe dédiée travaille sur des actions supplémentaires pour protéger les clients. Cependant, la sécurité d’Ox a constaté que la faille est toujours exploitable le 29 juin 2025. D’autres fournisseurs faisaient écho à la position de Microsoft sur la divulgation. JetBrains (IntelliJ Idea) a déclaré à Ox Security que puisque le plugin en question ne provient pas du marché Jet-Brains, il est traité comme une extension tierce et non vérifiée, que la plate-forme signale explicitement aux utilisateurs avant l’installation. Le curseur, quant à lui, a déclaré à Ox Security qu’il ne vérifie pas continuellement les extensions une fois qu’ils sont installés.
