En détournant des fonctionnalités de Visual Studio Code, des cyberespions présumés chinois ont orchestré une campagne d’espionnage d’envergure contre des prestataires IT. Les développeurs, qui sont au coeur de la Supply Chain logicielle, deviennent des cibles prioritaires…
Les développeurs sont décidément de plus en plus ciblés par les cyberattaquants. Et quand ils ne sont pas directement ciblés, ce sont les outils qu’ils utilisent qui le sont. Car en les attaquant, les « bad guys » peuvent infiltrer la « supply chain logicielle » et implémenter des portes dérobées dans les logiciels avant même qu’ils ne soient déployés.
Une nouvelle attaque révélée cette semaine illustre bien comment les outils des développeurs constituent aujourd’hui de nouveaux vecteurs d’attaque privilégiés pour les cybercriminels.
Une campagne d’espionnage baptisée « Operation Digital Eye« , lancée cet été par un acteur malveillant soupçonné d’être lié à la Chine, a ainsi visé de grands prestataires de services IT en Europe du Sud, ouvrant la voie à des compromissions en cascade au sein de la supply chain numérique. Une « opération » ciblant l’un des outils phares et les plus populaires de l’univers du développement : Visual Studio…
Une exploitation inédite de Visual Studio Code
L’attaque, mise au jour par SentinelLabs et Tinexta Cyber, innove par l’usage détourné des tunnels de développement à distance de Visual Studio Code (VS Code). Conçu à l’origine pour faciliter le travail collaboratif et le développement à distance, cette fonctionnalité est ici transformée en véritable passerelle d’accès persistant et furtif aux systèmes compromis.
Les assaillants ont tiré parti d’exécutables signés par Microsoft et de l’infrastructure Microsoft Azure pour légitimer leurs actions et échapper à la vigilance des dispositifs de sécurité, rendant la détection d’autant plus ardue. D’après les chercheurs, avant cette campagne, l’exploitation de VS Code à des fins de C2 (Command & Control) restait rarissime.
Du cyberespionnage ciblé sur la supply chain
Les cyberespions n’ont clairement ciblés n’importe quel développeur. En compromettant des prestataires de services IT, ils ont cherché à s’assurer une position stratégique leur permettant d’atteindre, en aval, les clients finaux.
Voici les différentes étapes de cette attaque : tout commence par une injection SQL pour obtenir un premier accès suivi du déploiement d’un webshell PHP personnalisé nommé « PHPsert ». Une telle position permet ensuite aux cyberattaquants d’établir des tunnels VS Code pour un contrôle à distance complet.
Un usage massif d’outils et de malwares partagés au sein de l’écosystème des APT chinoises – notamment des variantes personnalisées de Mimikatz, regroupées sous l’appellation « mimCN » – démontre la probable existence d’un « quartmaster » numérique, c’est-à-dire un prestataire interne ou tiers, chargé de développer, maintenir et mettre à disposition ces outils pour différents groupes malveillants.
L’exploitation du Cloud et l’illusion de la légitimité
En s’appuyant une nouvelle fois sur des serveurs en Europe et sur le Cloud Azure, les opérateurs malveillants ont réduit la suspicion, leurs flux semblant provenir d’environnements légitimes.
Cette approche a complexifié la détection et la prévention. L’utilisation de domaines *.devtunnels.ms, propriété d’Azure, a là aussi permis de camoufler la présence malveillante sous une apparence d’activité métier légale, d’autant plus que les connexions au sein des tunnels étaient protégées par des comptes Microsoft ou GitHub.
Une opération étatique ?
L’analyse chronologique montre des activités de l’attaque concentrées pendant les jours et heures ouvrés en Chine, suggérant des opérations potentiellement orchestrées ou soutenues par un État. Les campagnes précédentes (Operation Soft Cell, Operation Tainted Love) et les outils récurrents (notamment les variantes spécifiques de Mimikatz) renforcent le lien avec des APT chinoises renommées comme Granite Typhoon (ex-Gallium) ou APT41.
Le tout témoigne forcément d’une orchestration et d’une logistique industrielles qui font pencher la balance en faveur d’une opération sponsorisée par un état, en l’occurrence l’état Chinois.
Des approches cyber à adapter
Cette campagne montre clairement que même les outils de développement les plus courants, comme VS Code, ne doivent pas être considérés comme intrinsèquement sûrs.
Les experts recommandent :
- Une surveillance accrue des lancements et services associés à VS Code.
- La limitation stricte des tunnels distants au personnel autorisé, assortie d’un contrôle d’identité renforcé.
- Un suivi attentif des connexions suspectes, en particulier vers les domaines *.devtunnels.ms.
Ce qui inquiète les chercheurs en cybersécurité, c’est que l’opération Digital Eye fait plus que surfer sur l’ère du temps et pourrait bien préfigurer une évolution plus profonde des menaces cybers. Les entreprises sont appelées à considérer désormais leurs environnements de développement comme des cibles de premier ordre. Dans ce contexte, la sécurisation de l’écosystème logiciel, de la première ligne de code aux pipelines de CI/CD, devient cruciale. Et l’exploitation de plus en plus fréquence d’outils légitimes et des grandes infrastructures Cloud – qui complexifie la détection – doit encourager les efforts de mise en œuvre d’approches Zero Trust à 360° et à défaut le renforcement de bonnes pratiques, comme la surveillance multidimensionnelle, la corrélation fine des événements, et le renforcement des politiques d’accès.
Operation Digital Eye est aussi une piqure de rappel pour tous les DSI face aux risques de la Supply Chain logicielle : il ne s’agit plus seulement de protéger les produits finis, mais aussi tous les maillons de la chaîne, y compris les environnements de développement et les outils qui semblaient autrefois inoffensifs.