Une nouvelle étude sur les environnements de développement intégrés (IDE) tels que Microsoft Visual Studio Code, Visual Studio, IntelliJ IDEA et Cursor a révélé des faiblesses dans la manière dont ils gèrent le processus de vérification des extensions, permettant ainsi aux attaquants d’exécuter du code malveillant sur les machines des développeurs.

« Nous avons découvert que des vérifications défectueuses dans Visual Studio Code permettent aux éditeurs d’ajouter des fonctionnalités aux extensions tout en conservant l’icône vérifiée », ont déclaré Nir Zadok et Moshe Siman Tov Bustan, chercheurs chez OX Security , dans un rapport partagé avec The Hacker News. « Cela peut donner l’impression que des extensions malveillantes sont vérifiées et approuvées, créant ainsi un faux sentiment de confiance. »

Plus précisément, l’analyse a révélé que Visual Studio Code envoie une requête HTTP POST au domaine « marketplace.visualstudio[.]com » pour déterminer si une extension est vérifiée ou non.

La méthode d’exploitation consiste essentiellement à créer une extension malveillante avec les mêmes valeurs vérifiables qu’une extension déjà vérifiée, comme celle de Microsoft, et à contourner les contrôles de confiance.

En conséquence, cela permet aux extensions malveillantes de paraître vérifiées aux yeux des développeurs sans méfiance, tout en contenant du code capable d’exécuter des commandes du système d’exploitation.

D’un point de vue sécurité, il s’agit d’un cas classique d’abus de chargement latéral d’extensions, où des acteurs malveillants distribuent des plugins en dehors de la place de marché officielle. Sans une application adéquate de la signature de code ni une vérification de l’éditeur de confiance, même des extensions en apparence légitimes peuvent cacher des scripts dangereux.

Pour les attaquants, cela ouvre un point d’entrée à faible barrière pour réaliser l’exécution de code à distance, un risque particulièrement grave dans les environnements de développement où les informations d’identification sensibles et le code source sont souvent accessibles.

Dans une preuve de concept (PoC) démontrée par la société de cybersécurité, l’extension a été configurée pour ouvrir l’application Calculatrice sur une machine Windows, mettant ainsi en évidence sa capacité à exécuter des commandes sur l’hôte sous-jacent.

En identifiant les valeurs utilisées dans les demandes de vérification et en les modifiant, il a été découvert qu’il est possible de créer un fichier de package VSIX de telle sorte qu’il fasse apparaître l’extension malveillante comme légitime.

OX Security a déclaré avoir pu reproduire la faille dans d’autres IDE comme IntelliJ IDEA et Cursor en modifiant les valeurs utilisées pour la vérification sans leur faire perdre leur statut vérifié.

En réponse aux divulgations responsables, Microsoft a déclaré que le comportement est intentionnel et que les modifications empêcheront la publication de l’extension VSIX sur la Marketplace en raison de la vérification de la signature de l’extension activée par défaut sur toutes les plateformes.

Cependant, la société de cybersécurité a découvert que la faille était exploitable le 29 juin 2025. The Hacker News a contacté Microsoft pour obtenir un commentaire, et nous mettrons à jour l’article si nous recevons une réponse.

Les résultats montrent une fois de plus que se fier uniquement au symbole vérifié des extensions peut être risqué, car les attaquants peuvent inciter les développeurs à exécuter du code malveillant à leur insu. Pour atténuer ces risques, il est conseillé d’installer les extensions directement depuis les places de marché officielles plutôt que d’utiliser les fichiers d’extension VSIX partagés en ligne.

« La possibilité d’injecter du code malveillant dans des extensions, de les empaqueter sous forme de fichiers VSIX/ZIP et de les installer tout en conservant les symboles vérifiés sur plusieurs plateformes de développement majeures représente un risque sérieux », ont déclaré les chercheurs. « Cette vulnérabilité touche particulièrement les développeurs qui installent des extensions depuis des ressources en ligne comme GitHub. »