36 тысяч скачиваний и десятки украденных ключей. Eclipse Foundation зачищает Open VSX после атаки на VS Code

leer en español

Open VSX Eclipse Foundation Wiz Microsoft Visual Studio Code GlassWorm утечка токенов
36 тысяч скачиваний и десятки украденных ключей. Eclipse Foundation зачищает Open VSX после атаки на VS Code
Open VSX Eclipse Foundation Wiz Microsoft Visual Studio Code GlassWorm утечка токенов

Под угрозой оказались расширения, установленные на рабочих машинах разработчиков по всему миру.

image

Eclipse Foundation отозвала несколько скомпрометированных токенов доступа, связанных с размещением расширений в открытом репозитории Open VSX. Проверку инициировала публикация компании Wiz, специализирующейся на облачной безопасности. В начале октября специалисты компании обнаружили, что в некоторых расширениях для Visual Studio Code, размещённых в официальном магазине Microsoft и в Open VSX, случайно оказались закоммичены рабочие токены. Такие утечки создают угрозу, поскольку позволяют сторонним пользователям вмешиваться в исходный код, подменять содержимое расширений и распространять вредоносные обновления.

По словам главы службы безопасности Eclipse Foundation, скомпрометированные ключи были обнаружены в отдельных репозиториях, но утечки произошли по вине разработчиков и не были связаны с уязвимостями в инфраструктуре Open VSX. В результате анализа команда подтвердила, что токены могли быть использованы для публикации поддельных версий или внесения нежелательных изменений в существующие расширения.

Для снижения риска подобных инцидентов в будущем Open VSX совместно с Microsoft Security Response Center разработали новую систему префиксов для токенов. Все новые ключи теперь включают специальный префикс «ovsxp_», что упрощает их обнаружение при автоматических проверках. Помимо этого, внесены изменения в сам процесс управления ключами: срок действия теперь ограничен по умолчанию, а отзыв токенов стал проще и быстрее при поступлении уведомлений о компрометации.

Кроме того, команда удалила из реестра все расширения, упомянутые в отчёте Koi Security в рамках кампании под названием GlassWorm. Подчёркивается, что, несмотря на название, речь не идёт о классическом компьютерном черве. Распространение вредоносного кода требует предварительного получения учётных данных разработчиков, что исключает автоматическое заражение. По оценке представителей Eclipse Foundation, реальное число пострадавших пользователей — существенно ниже заявленных 35 800 скачиваний, поскольку часть загрузок была сгенерирована ботами и искусственно завышена злоумышленниками.

В дополнение к уже внедрённым мерам Open VSX планирует расширить автоматическую проверку расширений на этапе публикации. Проверки будут включать анализ на наличие вредоносных шаблонов и утёкших секретов. Эти шаги направлены на усиление защиты экосистемы и минимизацию угроз для разработчиков и компаний, использующих сторонние расширения. Представители фонда подчёркивают, что устойчивость цепочки поставок зависит от всех участников: авторы должны следить за безопасностью собственных ключей, а администраторы — своевременно реагировать на инциденты.