Când tokenuri de acces au fost publicate din greșeală în depozite publice, registrul Open VSX a fost nevoit să le reînnoiască pentru a opri o campanie care distribuia extensii malițioase. Incidentul a fost semnalat de cercetători de la Wiz, care au descoperit expunerea a peste 550 de secrete în piețele Microsoft VSCode și Open VSX, iar efectele nu au întârziat: atacatorii au profitat de chei pentru a încărca versiuni compromise ale unor extensii, generând un risc real în lanțul de aprovizionare software.
Open VSX, inițiativă a Eclipse Foundation, funcționează ca o alternativă open-source la Visual Studio Marketplace al Microsoft și găzduiește extensii compatibile cu VS Code, în special pentru fork-uri care nu pot utiliza platforma Microsoft, precum Cursor sau Windsurf. Unele dintre tokenurile scurse ofereau acces la proiecte cu până la 150.000 de descărcări, ceea ce, în practică, înseamnă o expunere semnificativă, suficientă pentru a permite distribuirea de versiuni malițioase către utilizatori.
La câteva zile după scurgere a apărut o campanie malware denumită GlassWorm. Cercetătorii de la Koi Security au explicat modul de operare: cod ascuns în caractere Unicode invizibile, menit să sustragă credențiale de dezvoltator și să declanșeze breșe în lanț în proiectele la care se putea ajunge. Printre victime s-au numărat și extensii care manipulau date de portofele pentru criptomonede, un indiciu clar că motivația atacatorilor era, cel puțin parțial, financiară.
Echipa Open VSX și Eclipse Foundation au publicat informații despre incident și au subliniat că, deși GlassWorm viza credențiale, nu a avut un mecanism real de autopropagare pe dispozitivele utilizatorilor. De asemenea, au contestat cifra de 35.800 de descărcări raportată inițial, explicând că aceasta este probabil umflată de boți și de tactici menite să crească vizibilitatea pachetelor compromise. După notificare, amenințarea a fost tratată prompt: până pe 21 octombrie toate extensiile malițioase au fost eliminate din registru, iar tokenurile implicate au fost reînnoite sau revocate.
Open VSX susține acum că incidentul este sub control și că nu există impacturi active, dar recunoaște necesitatea unor măsuri de securitate mai stricte. Printre schimbările anunțate se numără scurtarea duratei de viață a tokenurilor pentru a reduce expunerea, fluxuri de revocare mai rapide pentru credențiale compromise, scanări automate de securitate ale extensiilor la publicare și cooperare cu echipa VS Code și alte piețe pentru schimb de informații despre amenințări. BleepingComputer a cerut detalii suplimentare privind numărul total de tokenuri rotite, dar nu a primit un răspuns imediat din partea Eclipse Foundation.
Între timp, același grup din spatele GlassWorm a inițiat un nou val de activitate pe GitHub, folosind aceeași tehnică de steganografie cu Unicode pentru a ascunde payload-uri malițioase. Cercetătorii Aikido au observat că operațiunea s-a extins deja la mai multe depozite, în special proiecte JavaScript. Această schimbare de platformă indică faptul că atacatorii pot pivotă rapid între ecosisteme open-source, exploatând punctele slabe rămase după expuneri.
Lista de remedii propusă de Open VSX include pași practici: tokenuri cu durată de viață redusă, revocări rapide, scanări automate și colaborare între piețe. Pentru echipele care gestionează chei sau dezvoltă extensii, lecția principală este clară: curățarea cheilor vechi și implementarea unor controale pentru codul generat de AI nu sunt doar bune practici, ci necesități operaționale. Măsurile anunțate ar diminua riscul ca un singur secret scurs să declanșeze o campanie de amploare.
Open VSX a confirmat eliminarea extensiilor malițioase și rotirea tokenurilor; GlassWorm a vizat credențiale și date de portofele pentru criptomonede, iar atacatorii s-au mutat apoi pe GitHub folosind aceeași metodă cu caractere Unicode. Consolidarea colaborării între registre și scanările automate par a fi cele mai eficiente instrumente disponibile în prezent. Ce alte măsuri crezi că ar trebui puse în aplicare de proiectele open-source pentru a apăra ecosistemul împotriva unor astfel de pivotări malițioase?
Fii primul care comentează