La campagne Glassworm est revenue avec des dizaines de paquets malveillants dans les marketplaces d'extensions pour VS Code et Visual Studio qui exfiltrent des jetons, des identifiants et du code source. On exhorte les équipes de sécurité à bloquer les extensions non approuvées, à lancer des analyses de la chaîne d'approvisionnement et à surveiller les jetons CI/CD et des dépôts pour détecter toute utilisation anormale.

Les équipes de sécurité observent une résurgence de la campagne Glassworm, qui distribue des packages malveillants déguisés en outils et utilitaires de développement légitimes sur les marketplaces d’extensions de Visual Studio et VS Code. Les extensions malveillantes sont conçues pour récolter des jetons développeur, des clés d’API, des identifiants de contrôle de version et du code source, créant ainsi une voie d’attaque latérale discrète vers les systèmes de build, les pipelines CI/CD et les dépôts internes. Avec l’accès aux jetons et aux identifiants, les attaquants peuvent modifier les artefacts de build, insérer des dépendances malveillantes ou exfiltrer la propriété intellectuelle et des configurations sensibles. La campagne représente une menace ciblée de la chaîne d’approvisionnement qui exploite la confiance des développeurs envers les marketplaces d’extensions et les privilèges élevés que détiennent souvent les commandes des outils de développement. Les mesures de défense recommandées incluent l’application de listes blanches politiques pour les extensions, l’intégration de l’analyse de la chaîne d’approvisionnement dans les workflows CI, la rotation des jetons et des secrets stockés sur les machines des développeurs, et la surveillance de l’utilisation des jetons et de l’activité des dépôts pour détecter des anomalies. Les intervenants en réponse aux incidents conseillent également la révocation immédiate des jetons compromis, l’analyse médico-légale des logs de build et une divulgation coordonnée lorsque des bases de code tierces ou des clients peuvent être affectés.