- 21,735
- 46
- 8 Ноя 2022
Под угрозой оказались расширения, установленные на рабочих машинах разработчиков по всему миру.
Eclipse Foundation отозвала несколько скомпрометированных токенов доступа, связанных с размещением расширений в открытом репозитории Open VSX. Проверку инициировала публикация компании Wiz, специализирующейся на облачной безопасности. В начале октября специалисты компании обнаружили, что в некоторых расширениях для Visual Studio Code, размещённых в официальном магазине Microsoft и в Open VSX, случайно оказались закоммичены рабочие токены. Такие утечки создают угрозу, поскольку позволяют сторонним пользователям вмешиваться в исходный код, подменять содержимое расширений и распространять вредоносные обновления.
По словам главы службы безопасности Eclipse Foundation, скомпрометированные ключи были обнаружены в отдельных репозиториях, но утечки произошли по вине разработчиков и не были связаны с уязвимостями в инфраструктуре Open VSX. В результате анализа команда подтвердила, что токены могли быть использованы для публикации поддельных версий или внесения нежелательных изменений в существующие расширения.
Для снижения риска подобных инцидентов в будущем Open VSX совместно с Microsoft Security Response Center разработали новую систему префиксов для токенов. Все новые ключи теперь включают специальный префикс «ovsxp_», что упрощает их обнаружение при автоматических проверках. Помимо этого, внесены изменения в сам процесс управления ключами: срок действия теперь ограничен по умолчанию, а отзыв токенов стал проще и быстрее при поступлении уведомлений о компрометации.
Кроме того, команда удалила из реестра все расширения, упомянутые в отчёте Koi Security в рамках кампании под названием GlassWorm . Подчёркивается, что, несмотря на название, речь не идёт о классическом компьютерном черве. Распространение вредоносного кода требует предварительного получения учётных данных разработчиков, что исключает автоматическое заражение. По оценке представителей Eclipse Foundation, реальное число пострадавших пользователей — существенно ниже заявленных 35 800 скачиваний, поскольку часть загрузок была сгенерирована ботами и искусственно завышена злоумышленниками.
В дополнение к уже внедрённым мерам Open VSX планирует расширить автоматическую проверку расширений на этапе публикации. Проверки будут включать анализ на наличие вредоносных шаблонов и утёкших секретов. Эти шаги направлены на усиление защиты экосистемы и минимизацию угроз для разработчиков и компаний, использующих сторонние расширения. Представители фонда подчёркивают, что устойчивость цепочки поставок зависит от всех участников: авторы должны следить за безопасностью собственных ключей, а администраторы — своевременно реагировать на инциденты.
Eclipse Foundation отозвала несколько скомпрометированных токенов доступа, связанных с размещением расширений в открытом репозитории Open VSX. Проверку инициировала публикация компании Wiz, специализирующейся на облачной безопасности. В начале октября специалисты компании обнаружили, что в некоторых расширениях для Visual Studio Code, размещённых в официальном магазине Microsoft и в Open VSX, случайно оказались закоммичены рабочие токены. Такие утечки создают угрозу, поскольку позволяют сторонним пользователям вмешиваться в исходный код, подменять содержимое расширений и распространять вредоносные обновления.
По словам главы службы безопасности Eclipse Foundation, скомпрометированные ключи были обнаружены в отдельных репозиториях, но утечки произошли по вине разработчиков и не были связаны с уязвимостями в инфраструктуре Open VSX. В результате анализа команда подтвердила, что токены могли быть использованы для публикации поддельных версий или внесения нежелательных изменений в существующие расширения.
Для снижения риска подобных инцидентов в будущем Open VSX совместно с Microsoft Security Response Center разработали новую систему префиксов для токенов. Все новые ключи теперь включают специальный префикс «ovsxp_», что упрощает их обнаружение при автоматических проверках. Помимо этого, внесены изменения в сам процесс управления ключами: срок действия теперь ограничен по умолчанию, а отзыв токенов стал проще и быстрее при поступлении уведомлений о компрометации.
Кроме того, команда удалила из реестра все расширения, упомянутые в отчёте Koi Security в рамках кампании под названием GlassWorm . Подчёркивается, что, несмотря на название, речь не идёт о классическом компьютерном черве. Распространение вредоносного кода требует предварительного получения учётных данных разработчиков, что исключает автоматическое заражение. По оценке представителей Eclipse Foundation, реальное число пострадавших пользователей — существенно ниже заявленных 35 800 скачиваний, поскольку часть загрузок была сгенерирована ботами и искусственно завышена злоумышленниками.
В дополнение к уже внедрённым мерам Open VSX планирует расширить автоматическую проверку расширений на этапе публикации. Проверки будут включать анализ на наличие вредоносных шаблонов и утёкших секретов. Эти шаги направлены на усиление защиты экосистемы и минимизацию угроз для разработчиков и компаний, использующих сторонние расширения. Представители фонда подчёркивают, что устойчивость цепочки поставок зависит от всех участников: авторы должны следить за безопасностью собственных ключей, а администраторы — своевременно реагировать на инциденты.
- Источник новости
- www.securitylab.ru
