Open VSX ротираше пристапни токени поради напад со малвер во синџирот на снабдување

Регистарот Open VSX изврши ротација на пристапните токени откако тие биле случајно протечени од страна на програмери во јавни репозиториуми, што им овозможило на напаѓачи да објавуваат злонамерни екстензии во напад преку синџир на снабдување.

Протекувањето било откриено од истражувачи на Wiz пред две недели, кога тие пријавиле изложеност на повеќе од 550 тајни информации низ пазарите на Microsoft VSCode и Open VSX.

Некои од тие тајни информации, наводно, можеле да овозможат пристап до проекти со над 150.000 преземања, што им давало можност на напаѓачите да прикачат злонамерни верзии на екстензии — создавајќи значителен ризик за синџирот на снабдување.

Open VSX, развиен под Eclipse Foundation, е отворен код алтернатива на Microsoft Visual Studio Marketplace — платформа која нуди екстензии за VSCode IDE.

Open VSX служи како заеднички управуван регистар за екстензии компатибилни со VS Code, кои се користат во AI-базирани верзии на VS Code што не можат да ја користат Microsoft платформата, како Cursor и Windsurf.

Некои од протечените токени биле искористени неколку дена подоцна во малвер кампања наречена „GlassWorm“.

Истражувачите на Koi Security соопштија дека GlassWorm распоредувал само-ширечки малвер скриен во невидливи Unicode знаци, со цел да украде акредитиви на програмери и да предизвика ланчани пробивања кај достапни проекти.

Овие напади, исто така, биле насочени кон податоци од криптовалутни паричници во рамки на 49 екстензии, што укажува дека финансиската добивка била главната мотивација.

Тимот на Open VSX и Eclipse Foundation објавија блог-пост за кампањата и протечените токени, нагласувајќи дека GlassWorm не бил навистина само-реплицирачки, иако таргетирал акредитиви на програмери.

„Малверот беше дизајниран да краде акредитиви на програмери, кои потоа можеа да се искористат за проширување на нападот, но тој не се ширеше автономно низ системите или уредите на корисниците,“ појаснува тимот на Open VSX.

„Исто така, веруваме дека пријавениот број од 35.800 преземања е преценет, бидејќи вклучува лажни преземања создадени од ботови и техники за вештачко зголемување на видливоста што ги користеле напаѓачите.“

Сепак, заканата била брзо сузбиена по добиеното известување, и од 21 октомври сите злонамерни екстензии биле отстранети од Open VSX регистарот, а поврзаните токени биле ротирани или поништени.

Open VSX потврди дека инцидентот е целосно ставен под контрола и дека нема тековно влијание. Исто така, најавија имплементација на дополнителни безбедносни мерки за спречување на идни напади, кои вклучуваат:

• Скратување на животниот век на токените за да се намали влијанието при нивно протекување.
• Побрзи процеси за поништување на откриени или компромитирани акредитиви.
• Автоматизирани безбедносни скенирања на екстензии при нивно објавување.
• Соработка со VS Code и други пазари за споделување разузнавачки информации за закани.

BleepingComputer испрати прашање до Eclipse Foundation за точниот број на ротирани токени, но засега нема официјален одговор.

Во меѓувреме, Aikido извести дека истите напаѓачи зад GlassWorm сега се преселиле на GitHub, каде што ја користат истата Unicode стеганографска техника за сокривање на злонамерниот код.

Истражувачите известуваат дека операцијата веќе се проширила на повеќе репозиториуми, најчесто фокусирани на JavaScript проекти.

Овој премин кон GitHub покажува дека заканата останува активна, брзо ротирајќи низ различни екосистеми со отворен код по секое откривање.

Извори:

• Bleeping Computer – „Open VSX rotates access tokens used in supply-chain malware attack“ .Bleeping Computer