Los investigadores de ciberseguridad han revelado una vulnerabilidad crítica en el registro Open VSX («Open-VSX (.) Org»).
«La vulnerabilidad permite a los atacantes tomar el control total de todo el mercado de expansión, lo que les permite tener un control total sobre millones de máquinas de desarrolladores», dijo Oren Yomtov, investigador de seguridad de KOI. «Al aprovechar los problemas de CI, los actores maliciosos pueden publicar actualizaciones maliciosas en todas las extensiones abiertas VSX».
Después de la divulgación responsable el 4 de mayo de 2025, los mantenedores propusieron múltiples rondas de revisión antes de que finalmente se desarrollara el 25 de junio.
El registro Open VSX es un proyecto de código abierto y reemplaza el mercado de Visual Studio. Mantenido por la Fundación Eclipse. Los editores de código como Cursor, Windsurf, Google Cloud Shell Editor y GitPod se integran en los Servicios.
«Esta amplia adopción significa que el compromiso Open VSX es un escenario de pesadilla para la cadena de suministro», dijo Yomtov. «Cada vez que se instala una extensión, o cada vez que una extensión se obtiene silenciosamente en segundo plano, estas acciones pasan por Open VSX».
Las vulnerabilidades descubiertas por KOI Security están enraizadas en el repositorio de extensiones de publicación. Esto incluye scripts que exponen extensiones de código abierto y código a Open-vsx.org.
Los desarrolladores pueden solicitar que la extensión se publique automáticamente enviando una solicitud de extracción para agregarla al archivo Extensions.json que reside en el repositorio. Luego será aprobado y fusionado.
En el backend, esto se desarrolla en forma de un flujo de trabajo de acción de GitHub que se ejecuta diariamente a las 03:03 AM UTC.
«Este flujo de trabajo se ejecuta con credenciales privilegiadas que incluyen el token secreto (OVSX_PAT) de la cuenta de servicio @Open-VSX.» En teoría, solo el código confiable debería ver ese token «.
«La raíz de la vulnerabilidad es que la instalación de NPM proporciona acceso a la variable de entorno OVSX_PAT mientras ejecuta cualquier script de compilación para todas las extensiones publicadas automáticamente y sus dependencias».
Esto significa obtener acceso a los tokens de su cuenta @Open-VSX, permitir el acceso privilegiado al registro Open VSX, expone nuevas extensiones a los atacantes y proporcionando la capacidad de manipular las extensiones existentes e inyectar código malicioso.
A partir de abril de 2025, Mitres no ha notado los riesgos planteados por las extensiones, que introdujo un nuevo enfoque de «extensión IDE» para el marco ATT & CK. Dice que los actores maliciosos podrían abusar de establecer un acceso permanente al sistema de víctimas.
«Todos los artículos del mercado son posibles puertas traseras», dijo Yomtov. «Son dependencias de software inmóviles con acceso privilegiado y merecen la misma diligencia que los paquetes PYPI, NPM, Hugginface o GitHub.
Source link
