Eclipse Foundation, die het open-source Open VSX-project onderhoudt, zei dat het stappen heeft ondernomen om een klein aantal tokens in te trekken die zijn gelekt in Visual Studio Code (VS Code)-extensies die op de markt zijn gepubliceerd.
De actie komt na een rapport van cloudbeveiligingsbedrijf Wiz eerder deze maand, waarin werd vastgesteld dat verschillende extensies van zowel Microsoft’s VS Code Marketplace als Open VSX onbedoeld hun toegangstokens in openbare opslagplaatsen hebben blootgesteld, waardoor slechte actoren mogelijk de controle kunnen overnemen en malware kunnen verspreiden, waardoor de toeleveringsketen van extensies effectief wordt vergiftigd.
“Na onderzoek hebben we bevestigd dat een klein aantal tokens was gelekt en mogelijk misbruikt kon worden om extensies te publiceren of aan te passen”, zegt Mikaël Barbero, hoofd beveiliging bij de Eclipse Foundation, in een verklaring. “Deze blootstellingen werden veroorzaakt door fouten van ontwikkelaars, en niet door een compromis van de Open VSX-infrastructuur.”
Open VSX zei dat het in samenwerking met het Microsoft Security Response Center (MSRC) ook een tokenvoorvoegselformaat “ovsxp_” heeft geïntroduceerd om het scannen op blootgestelde tokens in openbare repository’s gemakkelijker te maken.
Bovendien zeiden de beheerders van het register dat ze alle extensies hebben geïdentificeerd en verwijderd die onlangs door Koi Security zijn gemarkeerd als onderdeel van een campagne met de naam ‘GlassWorm’, terwijl ze benadrukken dat de malware die via de activiteit wordt verspreid geen ‘zichzelf replicerende worm’ is, in die zin dat het eerst de inloggegevens van de ontwikkelaar moet stelen om zijn bereik te vergroten.
“We zijn ook van mening dat het gerapporteerde aantal downloads van 35.800 het werkelijke aantal getroffen gebruikers overschat, omdat het ook gaat om opgeblazen downloads gegenereerd door bots en zichtbaarheidsverhogende tactieken die door de bedreigingsactoren worden gebruikt”, voegde Barbero eraan toe.
Open VSX zei dat het ook bezig is met het afdwingen van een aantal beveiligingswijzigingen om de toeleveringsketen te versterken, waaronder –
- Standaard wordt de levensduurlimiet voor tokens verlaagd om de impact van onbedoelde lekken te verminderen
- Het intrekken van tokens eenvoudiger maken na kennisgeving
- Geautomatiseerd scannen van extensies op het moment van publicatie om te controleren op kwaadaardige codepatronen of ingebedde geheimen
De nieuwe maatregelen om de cyberveerkracht van het ecosysteem te versterken komen omdat het ecosysteem van softwareleveranciers en ontwikkelaars steeds meer het doelwit worden van aanvallen, waardoor aanvallers verreikende en blijvende toegang krijgen tot bedrijfsomgevingen.
“Dit soort incidenten herinneren ons eraan dat de beveiliging van de toeleveringsketen een gedeelde verantwoordelijkheid is: van uitgevers die hun tokens zorgvuldig beheren tot registerbeheerders die de detectie- en responsmogelijkheden verbeteren”, aldus Barbero.
