La Fundación Eclipse, que gestiona el proyecto de código abierto Open VSX, dijo que ha tomado medidas para revocar una pequeña cantidad de tokens que se filtraron dentro de una extensión de Visual Studio Code (VS Code) publicada en el mercado.
Esta acción sigue a un informe de la firma de seguridad en la nube Wiz a principios de este mes que encontró que varias extensiones tanto en VS Code Marketplace como en Open VSX de Microsoft expusieron inadvertidamente tokens de acceso en repositorios públicos, lo que potencialmente permitió que partes malintencionadas tomaran el control y distribuyeran malware, contaminando efectivamente la cadena de suministro de extensiones.
«A través de nuestra investigación, hemos determinado que una pequeña cantidad de tokens fueron comprometidos y pueden haber sido utilizados para publicar o modificar extensiones», dijo en un comunicado Mikaël Barbero, jefe de seguridad de la Fundación Eclipse. «Estas exposiciones fueron causadas por un error del desarrollador y no por un compromiso de la infraestructura Open VSX».
Open VSX dijo que también introdujo el formato de prefijo de token «ovsxp_» en colaboración con el Centro de respuesta de seguridad de Microsoft (MSRC) para facilitar el escaneo de tokens publicados en repositorios públicos.
Además, los administradores de registro dijeron que han identificado y eliminado todas las extensiones reportadas recientemente por Koi Security como parte de una campaña llamada «GlassWorm», al tiempo que enfatizaron que el malware distribuido a través de esta campaña no es un «gusano autorreplicante» en el sentido de que primero necesita robar las credenciales del desarrollador para poder ampliar su alcance.
«También creemos que el recuento de descargas reportado de 35.800 exagera el número real de usuarios afectados, ya que incluye descargas infladas generadas por bots y tácticas de visibilidad utilizadas por actores de amenazas», añadió Barbero.
Open VSX dijo que está implementando una serie de cambios de seguridad para fortalecer su cadena de suministro, que incluyen:
Acorte los tiempos de caducidad de los tokens de forma predeterminada para reducir el impacto de las fugas accidentales. Facilite la revocación de los tokens tras la notificación. Escanee automáticamente las extensiones en busca de patrones de códigos maliciosos y secretos incrustados tras su publicación.
Los nuevos pasos para fortalecer la resiliencia cibernética del ecosistema se producen en un momento en que el ecosistema de proveedores de software y los desarrolladores son cada vez más blanco de ataques, lo que brinda a los atacantes un acceso generalizado y persistente a los entornos empresariales.
«Incidentes como este nos recuerdan que la seguridad de la cadena de suministro es una responsabilidad compartida, desde los editores que administran cuidadosamente sus tokens hasta los administradores de registros que mejoran sus capacidades de detección y respuesta», dijo Barbero.
Source link
