De Eclipse Foundation, die het Open VSX Registry onderhoudt, heeft plannen aangekondigd om veiligheidscontroles af te dwingen voordat Microsoft Visual Studio Code (VS Code)-extensies worden gepubliceerd naar de open-source repository om bedreigingen voor de toeleveringsketen te bestrijden.
Deze stap markeert een verschuiving van een reactieve naar een proactieve aanpak om ervoor te zorgen dat kwaadaardige extensies uiteindelijk niet in het Open VSX Registry worden gepubliceerd.
“Tot nu toe heeft de Open VSX Registry vooral vertrouwd op reacties en onderzoek na publicatie. Wanneer er een slechte extensie wordt gerapporteerd, onderzoeken we deze en verwijderen we deze”, zegt Christopher Guindon, directeur softwareontwikkeling bij de Eclipse Foundation.
“Hoewel deze aanpak relevant en noodzakelijk blijft, schaalt deze niet op naarmate het publicatievolume toeneemt en de dreigingsmodellen evolueren.”
De verandering komt doordat open-sourcepakketregisters en extensiemarktplaatsen steeds meer aanvalsmagneten zijn geworden, waardoor kwaadwillenden zich op grote schaal kunnen richten op ontwikkelaars via een verscheidenheid aan methoden, zoals naamruimte-imitatie en typosquatting. Vorige week nog meldde Socket een incident waarbij het account van een gecompromitteerde uitgever werd gebruikt om vergiftigde updates te pushen.
Door pre-publicatiecontroles te implementeren, is het de bedoeling om de blootstellingsperiode te beperken en de volgende scenario’s te markeren, en om verdachte uploads ter beoordeling in quarantaine te plaatsen in plaats van ze onmiddellijk te publiceren:
- Duidelijke gevallen van nabootsing van de extensienaam of naamruimte
- Per ongeluk gepubliceerde inloggegevens of geheimen
- Bekende kwaadaardige patronen
Het is vermeldenswaard dat Microsoft al een soortgelijk uit meerdere stappen bestaand controleproces heeft voor zijn Visual Studio Marketplace. Dit omvat het scannen van binnenkomende pakketten op malware, het vervolgens opnieuw scannen van elk nieuw gepubliceerd pakket “kort” nadat het is gepubliceerd, en het periodiek in bulk opnieuw scannen van alle pakketten.
Het extensieverificatieprogramma zal naar verwachting gefaseerd worden uitgerold, waarbij de beheerders de maand februari 2026 gebruiken om nieuw gepubliceerde extensies te monitoren zonder de publicatie te blokkeren om het systeem te verfijnen, valse positieven te verminderen en de feedback te verbeteren. De handhaving begint volgende maand.
“Het doel en de bedoeling is om de beveiligingsvloer te verhogen, uitgevers te helpen problemen vroegtijdig op te sporen en de ervaring voorspelbaar en eerlijk te houden voor uitgevers te goeder trouw”, aldus Guindon.
“Pre-publicatiecontroles verkleinen de kans dat duidelijk kwaadaardige of onveilige extensies in het ecosysteem terechtkomen, wat het vertrouwen in de Open VSX Registry als gedeelde infrastructuur vergroot.”
