El registro Open VSX rotó tokens de acceso después de que los desarrolladores los filtraron accidentalmente en repositorios públicos y permitió a los actores de amenazas publicar extensiones maliciosas en un ataque a la cadena de suministro.
La fuga fue descubierto por wiz investigadores hace dos semanas, cuando informaron una exposición de más de 550 secretos en los mercados Microsoft VSCode y Open VSX.
Según se informa, algunos de esos secretos podrían dar acceso a proyectos con 150.000 descargas, lo que permitiría a los actores de amenazas cargar versiones maliciosas de la extensión, creando un riesgo significativo para la cadena de suministro.
Open VSX, desarrollado bajo la Fundación Eclipse, es una alternativa de código abierto a Visual Studio Marketplace de Microsoft, una plataforma que ofrece extensiones para VSCode IDE.
Open VSX sirve como un registro impulsado por la comunidad para extensiones compatibles con VS Code para su uso en bifurcaciones impulsadas por IA que no pueden usar la plataforma de Microsoft, como Cursor y Windsurf.
Algunos de los tokens filtrados se utilizaron posteriormente en una campaña de malware unos días después. apodado 'gusano de cristal'.
Los investigadores de Koi Security informaron que GlassWorm implementó un malware autopropagante oculto dentro de caracteres Unicode invisibles, que intentaba robar credenciales de desarrollador y desencadenar infracciones en cascada en proyectos accesibles.
Estos ataques también se dirigieron a datos de billeteras de criptomonedas de 49 extensiones, lo que indica que el motivo de los atacantes probablemente era una ganancia financiera.
El equipo de Open VSX y la Fundación Eclipse publicaron una publicación de blog sobre la campaña y los tokens filtrados, afirmando que GlassWorm, de hecho, no era autorreplicante, aunque sí apuntaba a las credenciales de los desarrolladores.
«El malware en cuestión fue diseñado para robar credenciales de desarrollador, que luego podrían usarse para ampliar el alcance del atacante, pero no se propagó de forma autónoma a través de los sistemas o máquinas de los usuarios». aclara el equipo de Open VSX.
«También creemos que el recuento de descargas reportado de 35.800 exagera el número real de usuarios afectados, ya que incluye descargas infladas generadas por bots y tácticas de aumento de visibilidad utilizadas por los actores de amenazas».
A pesar de eso, la amenaza se contuvo rápidamente tras la notificación y, a partir del 21 de octubre, todas las extensiones maliciosas se eliminaron del registro Open VSX y los tokens asociados se rotaron o revocaron.
Open VSX ahora ha confirmado que el incidente está completamente contenido sin ningún impacto continuo y que planean implementar medidas de seguridad adicionales para evitar un ataque futuro.
Estas mejoras de seguridad se resumen a continuación:
- Acorte la vida útil de los tokens para reducir el impacto de la exposición.
- Introduzca flujos de trabajo de revocación más rápidos para credenciales filtradas.
- Realice análisis de seguridad automatizados en busca de extensiones durante la publicación.
- Colabore con VS Code y otros mercados para compartir inteligencia sobre amenazas.
BleepingComputer envió un correo electrónico a la Fundación Eclipse para preguntar cuántos tokens se rotaron en total, pero no hubo una declaración disponible de inmediato.
Mientras tanto, Aikido informó que los mismos actores de amenazas detrás de GlassWorm ahora se han trasladado a GitHub, donde emplean el mismo truco de esteganografía Unicode para ocultar su carga maliciosa.
Los investigadores informan que la operación ya se ha extendido a múltiples repositorios, la mayoría de los cuales se centran en proyectos de JavaScript.
El giro hacia GitHub indica que la amenaza permanece activa, rotando rápidamente a través de ecosistemas de código abierto después de la exposición.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
