La Fundación Eclipse, que mantiene el proyecto Open VSX de código abierto, dijo que ha tomado medidas para revocar una pequeña cantidad de tokens que se filtraron en las extensiones de Visual Studio Code (VS Code) publicadas en el mercado.
La acción se produce tras un informe de la empresa de seguridad en la nube Wiz a principios de este mes, que descubrió que varias extensiones de VS Code Marketplace y Open VSX de Microsoft habían expuesto inadvertidamente sus tokens de acceso en repositorios públicos, lo que podría permitir a actores malintencionados hacerse con el control y distribuir el malware, envenenando así la cadena de suministro de extensiones.
«Tras una investigación, confirmamos que se había filtrado una pequeña cantidad de tokens y que podrían utilizarse indebidamente para publicar o modificar extensiones», dijo Mikaël Barbero, jefe de seguridad de la Fundación Eclipse, dijo en un comunicado. «Estas exposiciones se debieron a errores de los desarrolladores, no a comprometer la infraestructura de Open VSX».
Open VSX dijo que también ha introducido un «formato de prefijo de token». ovsxp_ «en colaboración con el Centro de Respuesta de Seguridad de Microsoft (MSRC) para facilitar el escaneo de los tokens expuestos en los repositorios públicos.
Además, los responsables del registro dijeron que habían identificado y eliminado todas las extensiones que Koi Security había marcado recientemente como parte de una campaña denominada» Gusano de vidrio », al tiempo que hizo hincapié en que el malware distribuido a través de la actividad no era un «gusano autorreplicante», ya que primero tenía que robar las credenciales de los desarrolladores para ampliar su alcance.
«También creemos que el recuento de descargas reportado, de 35.800, exagera el número real de usuarios afectados, ya que incluye las descargas exageradas generadas por los bots y las tácticas para aumentar la visibilidad utilizadas por los actores de amenazas», agregó Barbero.
Open VSX dijo que también está en proceso de aplicar una serie de cambios de seguridad para reforzar la cadena de suministro, que incluyen:
- Reducir los límites de vida útil de los tokens de forma predeterminada para reducir el impacto de las fugas accidentales
- Facilitar la revocación de los tokens tras la notificación
- Análisis automatizado de las extensiones en el momento de la publicación para comprobar si hay patrones de código malintencionado o secretos incrustados
Las nuevas medidas para fortalecer la ciberresiliencia del ecosistema se producen a medida que el ecosistema de proveedores de software y los desarrolladores se convierten cada vez más en blanco de ataques, lo que permite a los atacantes un acceso persistente y de gran alcance a los entornos empresariales.
«Incidentes como este nos recuerdan que la seguridad de la cadena de suministro es una responsabilidad compartida: desde los editores que administran sus tokens con cuidado hasta que los mantenedores del registro mejoran las capacidades de detección y respuesta», dijo Barbero.