Open VSX registar rotirao je pristupne tokene nakon što su ih programeri slučajno objavili u javnim repozitorijumima, što je omogućilo hakerima da objave zlonamjerne ekstenzije u okviru napada na lanac snabdijevanja.
Istraživači kompanije Wiz otkrili su curenje prije dvije nedjelje, kada su prijavili izloženost više od 550 tajni unutar Microsoft VSCode i Open VSX marketa.
Neki od tih podataka potencijalno su omogućavali pristup projektima sa čak 150.000 preuzimanja, što bi hakerima dalo mogućnost da postave maliciozne verzije ekstenzija, stvarajući ozbiljan rizik po lanac snabdijevanja.
Open VSX, koji razvija Eclipse Foundation, predstavlja alternativu otvorenog koda Microsoftovom Visual Studio Marketplace-u — platformi za distribuciju ekstenzija za VSCode razvojno okruženje.
Ovaj registar funkcioniše kao zajednički projekat zajednice i pruža VSCode-kompatibilne ekstenzije koje koriste AI-pokretane alternative Microsoft-ovoj platformi, poput Cursor-a i Windsurf-a.
Neki od procurjelih tokena kasnije su iskorišćeni u malicioznoj kampanji nazvanoj GlassWorm.
Istraživači iz Koi Security otkrili su da je GlassWorm širio samoreplicirajući malver sakriven unutar nevidljivih Unicode karaktera, sa ciljem krađe developerskih kredencijala i izazivanja lančanih kompromitacija povezanih projekata.
Napadi su takođe bili usmjereni na podatke o kriptovalutama u okviru 49 ekstenzija, što ukazuje da je primarni motiv napadača bio finansijski dobitak.
Tim Open VSX-a i Eclipse Foundation objavili su saopštenje u kojem su pojasnili da GlassWorm nije imao sposobnost samostalnog širenja, iako jeste ciljao developerske naloge.
„Malver je dizajniran da krade kredencijale programera, koji bi se potom mogli koristiti za širenje pristupa, ali se nije autonomno propagirao kroz sisteme ili korisničke mašine“, navodi Open VSX tim.
„Takođe vjerujemo da prijavljeni broj od 35.800 preuzimanja precjenjuje stvarni broj pogođenih korisnika, jer uključuje vještački povećane preuzimanja generisana botovima i tehnikama za povećanje vidljivosti koje su koristili hakeri.“
Uprkos svemu, prijetnja je brzo neutralisana nakon prijave, a do 21. oktobra sve maliciozne ekstenzije su uklonjene iz Open VSX registra, dok su povezani tokeni rotirani ili opozvani.
Open VSX je potvrdio da je incident u potpunosti stavljen pod kontrolu i da više nema aktivnih posljedica, te da planira uvesti dodatne mjere zaštite kako bi spriječio slične napade u budućnosti.
Predložena poboljšanja uključuju:
- Skraćivanje životnog vijeka tokena radi smanjenja rizika izloženosti;
- Brže procedure opoziva kompromitovanih kredencijala;
- Automatske bezbjednosne skenove ekstenzija prilikom objavljivanja;
- Saradnju sa VS Code i drugim tržištima u razmjeni obavještajnih podataka o prijetnjama.
BleepingComputer je kontaktirao Eclipse Foundation radi potvrde broja rotiranih tokena, ali odgovor još nije dostavljen.
U međuvremenu, kompanija Aikido izvještava da su isti hakeri koji stoje iza GlassWorm kampanje prešli na GitHub, gdje koriste istu Unicode steganografsku tehniku za prikrivanje malicioznog koda.
Istraživači navode da se operacija već proširila na više repozitorijuma, uglavnom onih fokusiranih na JavaScript projekte.
Ovaj prelazak na GitHub ukazuje da prijetnja ostaje aktivna i da se brzo adaptira na različite open-source ekosisteme nakon svakog otkrivanja.
Izvor: BleepingComputer
