- 27,514
- 46
- 8 Ноя 2022
Злоумышленники могли занять свободные пространства имён в OpenVSX и раздавать вредоносные расширения через IDE.
Популярные IDE с ИИ помощниками вроде Cursor, Windsurf, Google Antigravity и Trae оказались уязвимы к атаке на цепочку поставок. Они показывают пользователям рекомендации установить расширения, которых нет в каталоге OpenVSX . Проблема в том, что такие пустующие имена может занять кто угодно, загрузив туда вредоносное расширение под доверенным брендом.
Эти среды разработки построены на базе форка Microsoft VSCode , но по лицензии не могут использовать официальный магазин расширений Visual Studio Marketplace. Поэтому они опираются на OpenVSX, это открытая альтернатива для совместимых расширений. И тут срабатывает наследство от VSCode. В конфигурации таких IDE уже зашит список официально рекомендуемых расширений, который изначально рассчитан на магазин Microsoft, а не на OpenVSX.
Рекомендации появляются двумя способами. Первый связан с файлами. Например, если разработчик открывает azure-pipelines.yaml, IDE предлагает установить расширение Azure Pipelines. Второй вариант зависит от окружения. Если программа замечает, что в системе установлен PostgreSQL, она может подсказать поставить расширение для работы с этой базой.
Как отмечают специалисты Koi, не все расширения из списка рекомендаций реально существуют в OpenVSX. Значит, соответствующие пространства имён издателей в реестре могут быть свободны. По словам специалистов, злоумышленник способен сыграть на доверии к подсказкам внутри IDE. Достаточно зарегистрировать незанятое имя и выложить туда вредоносное расширение. Для пользователя оно будет выглядеть как логичное и привычное предложение от самой среды разработки.
О проблеме сообщили Google, Windsurf и Cursor в конце ноября 2025 года. Cursor, как утверждается, исправил уязвимость 1 декабря. Google убрал 13 рекомендаций 26 декабря, а 1 января отметил проблему как решённую. Windsurf не дал обратную связь исследователям Koi по проблеме.
Чтобы снизить риск эксплуатации, команда Koi заняла несколько потенциально опасных пространств имён и загрузила туда «заглушки», которые ничего не делают, но блокируют возможность подмены. Речь идёт о следующих идентификаторах расширений: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode и pkosta2005.heroku-command. Также исследователи работали с Eclipse Foundation, которая управляет OpenVSX, чтобы проверить оставшиеся упомянутые пространства имён, убрать неофициальных участников и внедрить более широкие меры защиты на уровне реестра.
Пока нет признаков, что этим разрывом уже успели воспользоваться злоумышленники до того, как о нём узнали исследователи и приняли меры. Но пользователям IDE на базе форков VSCode советуют относиться к рекомендациям расширений осторожно. Лучше вручную открывать страницу расширения в OpenVSX и проверять, кто именно является издателем и выглядит ли он достаточно надёжным.
Популярные IDE с ИИ помощниками вроде Cursor, Windsurf, Google Antigravity и Trae оказались уязвимы к атаке на цепочку поставок. Они показывают пользователям рекомендации установить расширения, которых нет в каталоге OpenVSX . Проблема в том, что такие пустующие имена может занять кто угодно, загрузив туда вредоносное расширение под доверенным брендом.
Эти среды разработки построены на базе форка Microsoft VSCode , но по лицензии не могут использовать официальный магазин расширений Visual Studio Marketplace. Поэтому они опираются на OpenVSX, это открытая альтернатива для совместимых расширений. И тут срабатывает наследство от VSCode. В конфигурации таких IDE уже зашит список официально рекомендуемых расширений, который изначально рассчитан на магазин Microsoft, а не на OpenVSX.
Рекомендации появляются двумя способами. Первый связан с файлами. Например, если разработчик открывает azure-pipelines.yaml, IDE предлагает установить расширение Azure Pipelines. Второй вариант зависит от окружения. Если программа замечает, что в системе установлен PostgreSQL, она может подсказать поставить расширение для работы с этой базой.
Как отмечают специалисты Koi, не все расширения из списка рекомендаций реально существуют в OpenVSX. Значит, соответствующие пространства имён издателей в реестре могут быть свободны. По словам специалистов, злоумышленник способен сыграть на доверии к подсказкам внутри IDE. Достаточно зарегистрировать незанятое имя и выложить туда вредоносное расширение. Для пользователя оно будет выглядеть как логичное и привычное предложение от самой среды разработки.
О проблеме сообщили Google, Windsurf и Cursor в конце ноября 2025 года. Cursor, как утверждается, исправил уязвимость 1 декабря. Google убрал 13 рекомендаций 26 декабря, а 1 января отметил проблему как решённую. Windsurf не дал обратную связь исследователям Koi по проблеме.
Чтобы снизить риск эксплуатации, команда Koi заняла несколько потенциально опасных пространств имён и загрузила туда «заглушки», которые ничего не делают, но блокируют возможность подмены. Речь идёт о следующих идентификаторах расширений: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode и pkosta2005.heroku-command. Также исследователи работали с Eclipse Foundation, которая управляет OpenVSX, чтобы проверить оставшиеся упомянутые пространства имён, убрать неофициальных участников и внедрить более широкие меры защиты на уровне реестра.
Пока нет признаков, что этим разрывом уже успели воспользоваться злоумышленники до того, как о нём узнали исследователи и приняли меры. Но пользователям IDE на базе форков VSCode советуют относиться к рекомендациям расширений осторожно. Лучше вручную открывать страницу расширения в OpenVSX и проверять, кто именно является издателем и выглядит ли он достаточно надёжным.
- Источник новости
- www.securitylab.ru
