La Fundación Eclipse, que mantiene el registro abierto de VSX, ha anunciado planes para aplicar las comprobaciones de seguridad antes de que las extensiones de Microsoft Visual Studio Code (VS Code) se publiquen en el repositorio de código abierto para combatir las amenazas a la cadena de suministro.
La medida marca un cambio de un enfoque reactivo a uno proactivo para garantizar que las extensiones maliciosas no acaben publicándose en el Open VSX Registry.
«Hasta ahora, el Open VSX Registry se ha basado principalmente en la respuesta e investigación posteriores a la publicación. Cuando se informa de una extensión incorrecta, la investigamos y la eliminamos», dijo Christopher Guindon, director de desarrollo de software de la Fundación Eclipse dijo .
adsense«Si bien este enfoque sigue siendo relevante y necesario, no se amplía a medida que aumenta el volumen de publicaciones y evolucionan los modelos de amenazas».
El cambio se produce a medida que los registros de paquetes de código abierto y los mercados de extensiones se han convertido cada vez más en imanes de ataque, lo que permite a los delincuentes atacar a los desarrolladores a gran escala mediante una variedad de métodos, como la suplantación de identidad en el espacio de nombres y la ocupación tipográfica. Tan recientemente como la semana pasada, Socket marcado un incidente en el que se utilizó la cuenta de un editor comprometido para publicar actualizaciones inútiles.
Al implementar comprobaciones previas a la publicación, la idea es limitar el período de exposición y marcar los siguientes escenarios, así como poner en cuarentena las subidas sospechosas para su revisión en lugar de publicarlas inmediatamente -
- Eliminar los casos de suplantación de nombres o nombres de extensiones
- Credenciales o secretos publicados accidentalmente
- Patrones maliciosos conocidos
Vale la pena señalar que Microsoft ya tiene un proceso similar de investigación de varios pasos en su lugar para su Visual Studio Marketplace. Esto incluye analizar los paquetes entrantes en busca de malware, volver a escanear cada paquete recién publicado «poco» después de su publicación y volver a escanear periódicamente de forma masiva todos los paquetes.
enlacesSe espera que el programa de verificación de extensiones se implemente por etapas, y que los mantenedores utilicen el mes de febrero de 2026 para monitorear las extensiones recién publicadas sin bloquear la publicación para ajustar el sistema, reducir los falsos positivos y mejorar los comentarios. La aplicación comenzará el mes que viene.
«El objetivo y la intención son aumentar el nivel de seguridad, ayudar a los editores a detectar los problemas a tiempo y mantener una experiencia predecible y justa para los editores de buena fe», dijo Guindon.
«Las comprobaciones previas a la publicación reducen la probabilidad de que extensiones obviamente maliciosas o inseguras entren en el ecosistema, lo que aumenta la confianza en Open VSX Registry como infraestructura compartida».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS