Το μητρώο Open VSX περιστράφηκε τα διακριτικά πρόσβασης αφού διέρρευσαν κατά λάθος από προγραμματιστές σε δημόσια αποθετήρια και επέτρεψε στους φορείς απειλών να δημοσιεύσουν κακόβουλες επεκτάσεις σε μια επίθεση αλυσίδας εφοδιασμού.
Η διαρροή ήταν ανακαλύφθηκε από τον Wiz ερευνητές πριν από δύο εβδομάδες, όταν ανέφεραν έκθεση σε περισσότερα από 550 μυστικά στις αγορές Microsoft VSCode και Open VSX.
Μερικά από αυτά τα μυστικά φέρεται ότι θα μπορούσαν να δώσουν πρόσβαση σε έργα με 150.000 λήψεις, επιτρέποντας στους παράγοντες απειλής να ανεβάζουν κακόβουλες εκδόσεις επέκτασης, δημιουργώντας σημαντικό κίνδυνο για την εφοδιαστική αλυσίδα.
Το Open VSX, που αναπτύχθηκε στο πλαίσιο του Eclipse Foundation, είναι μια εναλλακτική λύση ανοιχτού κώδικα στο Visual Studio Marketplace της Microsoft, μια πλατφόρμα που προσφέρει επεκτάσεις για το VSCode IDE.
Το Open VSX χρησιμεύει ως μητρώο που βασίζεται στην κοινότητα για επεκτάσεις συμβατές με τον κώδικα VS για χρήση σε πιρούνια που τροφοδοτούνται με AI που δεν μπορούν να χρησιμοποιήσουν την πλατφόρμα της Microsoft, όπως το Cursor και το Windsurf.
Μερικά από τα διακριτικά που διέρρευσαν χρησιμοποιήθηκαν στη συνέχεια σε μια καμπάνια κακόβουλου λογισμικού λίγες μέρες αργότερα, που ονομάστηκε «GlassWorm».
Οι ερευνητές του Koi Security ανέφεραν ότι το GlassWorm ανέπτυξε ένα κακόβουλο λογισμικό που διαχέεται μόνο του κρυμμένο μέσα σε αόρατους χαρακτήρες Unicode, το οποίο προσπάθησε να κλέψει τα διαπιστευτήρια προγραμματιστή και να προκαλέσει διαδοχικές παραβιάσεις σε προσβάσιμα έργα.
Αυτές οι επιθέσεις στόχευαν επίσης δεδομένα πορτοφολιού κρυπτονομισμάτων από 49 επεκτάσεις, υποδεικνύοντας ότι το κίνητρο των εισβολέων ήταν πιθανότατο οικονομικό κέρδος.
Η ομάδα Open VSX και το Ίδρυμα Eclipse δημοσίευσαν μια ανάρτηση ιστολογίου σχετικά με την καμπάνια και διέρρευσαν μάρκες, δηλώνοντας ότι το GlassWorm στην πραγματικότητα δεν αυτοαναπαράγεται, αν και στόχευε διαπιστευτήρια προγραμματιστή.
“Το εν λόγω κακόβουλο λογισμικό σχεδιάστηκε για να κλέβει διαπιστευτήρια προγραμματιστή, τα οποία στη συνέχεια θα μπορούσαν να χρησιμοποιηθούν για την επέκταση της εμβέλειας του εισβολέα, αλλά δεν διαδόθηκε αυτόνομα μέσω συστημάτων ή μηχανών χρηστών.” διευκρινίζει η ομάδα Open VSX.
«Πιστεύουμε επίσης ότι ο αναφερόμενος αριθμός λήψεων των 35.800 υπερεκτιμά τον πραγματικό αριθμό των επηρεαζόμενων χρηστών, καθώς περιλαμβάνει διογκωμένες λήψεις που δημιουργούνται από bots και τακτικές ενίσχυσης της ορατότητας που χρησιμοποιούνται από τους παράγοντες απειλών».
Παρόλα αυτά, η απειλή περιορίστηκε γρήγορα μετά την ειδοποίηση και από τις 21 Οκτωβρίου, όλες οι κακόβουλες επεκτάσεις καταργήθηκαν από το μητρώο Open VSX και τα σχετικά διακριτικά εναλλάχθηκαν ή ανακλήθηκαν.
Το Open VSX έχει πλέον επιβεβαιώσει ότι το περιστατικό έχει περιοριστεί πλήρως χωρίς συνεχείς επιπτώσεις και ότι σχεδιάζουν να εφαρμόσουν πρόσθετα μέτρα ασφαλείας για να αποτρέψουν μια μελλοντική επίθεση.
Αυτές οι βελτιώσεις ασφαλείας συνοψίζονται παρακάτω:
- Μειώστε τη διάρκεια ζωής των συμβολικών για να μειώσετε τον αντίκτυπο της έκθεσης.
- Εισαγάγετε ταχύτερες ροές εργασιών ανάκλησης για διαπιστευτήρια που διέρρευσαν.
- Εκτελέστε αυτοματοποιημένες σαρώσεις ασφαλείας για επεκτάσεις κατά τη δημοσίευση.
- Συνεργαστείτε με τον κώδικα VS και άλλες αγορές για να μοιραστείτε πληροφορίες σχετικά με τις απειλές.
Η BleepingComputer έστειλε email στο Eclipse Foundation για να ρωτήσει πόσα tokens εναλλάχθηκαν συνολικά, αλλά μια δήλωση δεν ήταν άμεσα διαθέσιμη.
Εν τω μεταξύ, ανέφερε το Aikido ότι οι ίδιοι ηθοποιοί απειλών πίσω από το GlassWorm έχουν πλέον μετακομίσει στο GitHub, όπου χρησιμοποιούν το ίδιο τέχνασμα στεγανογραφίας Unicode για να κρύψουν το κακόβουλο ωφέλιμο φορτίο τους.
Οι ερευνητές αναφέρουν ότι η λειτουργία έχει ήδη εξαπλωθεί σε πολλαπλά αποθετήρια, τα περισσότερα από τα οποία επικεντρώνονται σε έργα JavaScript.
Η περιστροφή στο GitHub υποδεικνύει ότι η απειλή παραμένει ενεργή, περιστρέφοντας γρήγορα μέσα από οικοσυστήματα ανοιχτού κώδικα μετά την έκθεση.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
