- 19,447
- 40
- 8 Ноя 2022
Весь Open VSX стал потенциальным оружием хакеров.
Специалисты Koi Security Для просмотра ссылки Войдиили Зарегистрируйся критическую Для просмотра ссылки Войди или Зарегистрируйся популярном репозитории расширений для Для просмотра ссылки Войди или Зарегистрируйся — Open VSX Registry. Проект с открытым исходным кодом Для просмотра ссылки Войди или Зарегистрируйся собой альтернативу официальному маркетплейсу Visual Studio Marketplace и широко используется в различных редакторах кода, включая Cursor, Windsurf, Google Cloud Shell Editor, Gitpod и другие.
Уязвимость открывала злоумышленникам возможность полного контроля над всей инфраструктурой Open VSX. Если бы лазейка была успешно использована, атакующие могли бы получить доступ к каждому размещённому там расширению, подменять существующие версии или распространять вредоносные обновления. По словам специалистов, это ставило под угрозу миллионы разработческих машин по всему миру и фактически превращало весь каталог расширений в масштабный инструмент для атак на цепочки поставок программного обеспечения.
Проблема была связана с процессом публикации расширений. Разработчики, желающие разместить своё расширение в Open VSX, отправляли Для просмотра ссылки Войдиили Зарегистрируйся на автоматическое размещение, добавляя данные о своём продукте в специальный файл extensions.json. После проверки и утверждения изменения попадали в основной Для просмотра ссылки Войди или Зарегистрируйся .
Далее запускался автоматический процесс сборки на основе Для просмотра ссылки Войдиили Зарегистрируйся , который ежедневно Для просмотра ссылки Войди или Зарегистрируйся в одно и то же время — в 03:03 по всемирному координированному времени. Этот процесс использовал список расширений из JSON-файла и специальный пакет Для просмотра ссылки Войди или Зарегистрируйся для публикации обновлений на платформу Open VSX.
Главной угрозой оказалось то, что во время установки зависимостей с помощью npm install выполнялись произвольные сборочные скрипты всех расширений, прошедших автопубликацию. Эти скрипты запускались в окружении, где был доступен конфиденциальный токен OVSX_PAT — учётные данные сервисного аккаунта @open-vsx, имеющего право на загрузку и обновление любых расширений в реестре.
Таким образом, злоумышленник, контролирующий хотя бы одно расширение или его зависимости, мог перехватить этот токен и получить полный доступ к инфраструктуре Open VSX Registry. Это открывало путь к публикации вредоносных расширений и вмешательству в уже размещённые модули без ведома их авторов.
Учитывая популярность Open VSX и его интеграцию во множество продуктов, подобный сценарий имел бы катастрофические последствия. Ведь каждый раз, когда пользователь устанавливает расширение или получает его обновление в фоновом режиме, этот процесс проходит через Open VSX. Если бы репозиторий оказался скомпрометирован, вредоносный код мог бы незаметно распространяться по всему миру.
Особую актуальность проблеме придаёт то, что ещё в апреле 2025 года MITRE включила в свою базу Для просмотра ссылки Войдиили Зарегистрируйся отдельную Для просмотра ссылки Войди или Зарегистрируйся под названием «IDE Extensions», предупреждая о рисках, связанных с расширениями для интегрированных сред разработки. Эти дополнения часто имеют доступ к чувствительным частям системы и могут использоваться злоумышленниками для закрепления в инфраструктуре жертвы.
По информации Koi Security, после ответственного раскрытия уязвимости 4 мая 2025 года, команда, поддерживающая проект, несколько раз дорабатывала защиту. Итоговые исправления были внедрены 25 июня.
Специалисты подчёркивают, что экосистемы расширений, независимо от платформы — будь то Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся — должны рассматриваться с той же степенью осторожности, что и любые внешние библиотеки. В противном случае цепочка поставок превращается в уязвимое и плохо контролируемое пространство, которое преступники всё чаще используют для скрытых атак.
Специалисты Koi Security Для просмотра ссылки Войди
Уязвимость открывала злоумышленникам возможность полного контроля над всей инфраструктурой Open VSX. Если бы лазейка была успешно использована, атакующие могли бы получить доступ к каждому размещённому там расширению, подменять существующие версии или распространять вредоносные обновления. По словам специалистов, это ставило под угрозу миллионы разработческих машин по всему миру и фактически превращало весь каталог расширений в масштабный инструмент для атак на цепочки поставок программного обеспечения.
Проблема была связана с процессом публикации расширений. Разработчики, желающие разместить своё расширение в Open VSX, отправляли Для просмотра ссылки Войди
Далее запускался автоматический процесс сборки на основе Для просмотра ссылки Войди
Главной угрозой оказалось то, что во время установки зависимостей с помощью npm install выполнялись произвольные сборочные скрипты всех расширений, прошедших автопубликацию. Эти скрипты запускались в окружении, где был доступен конфиденциальный токен OVSX_PAT — учётные данные сервисного аккаунта @open-vsx, имеющего право на загрузку и обновление любых расширений в реестре.
Таким образом, злоумышленник, контролирующий хотя бы одно расширение или его зависимости, мог перехватить этот токен и получить полный доступ к инфраструктуре Open VSX Registry. Это открывало путь к публикации вредоносных расширений и вмешательству в уже размещённые модули без ведома их авторов.
Учитывая популярность Open VSX и его интеграцию во множество продуктов, подобный сценарий имел бы катастрофические последствия. Ведь каждый раз, когда пользователь устанавливает расширение или получает его обновление в фоновом режиме, этот процесс проходит через Open VSX. Если бы репозиторий оказался скомпрометирован, вредоносный код мог бы незаметно распространяться по всему миру.
Особую актуальность проблеме придаёт то, что ещё в апреле 2025 года MITRE включила в свою базу Для просмотра ссылки Войди
По информации Koi Security, после ответственного раскрытия уязвимости 4 мая 2025 года, команда, поддерживающая проект, несколько раз дорабатывала защиту. Итоговые исправления были внедрены 25 июня.
Специалисты подчёркивают, что экосистемы расширений, независимо от платформы — будь то Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
