Kyberbezpečnostní experti odhalili kritickou zranitelnost v Open VSX Registry („open-vsx[.]org“), která by v případě úspěšného zneužití mohla útočníkům umožnit převzít kontrolu nad celým tržištěm rozšíření pro Visual Studio Code, což představuje vážné riziko pro dodavatelský řetězec.

„Tato zranitelnost poskytuje útočníkům plnou kontrolu nad celým tržištěm rozšíření, a tím i plnou kontrolu nad miliony vývojářských zařízení,“ uvedl bezpečnostní expert z Koi Security Oren Yomtov. „Zneužitím problému v CI by mohl škodlivý aktér publikovat škodlivé aktualizace pro každé rozšíření na Open VSX.“

Po odpovědném oznámení 4. května 2025 bylo správci navrženo několik kol oprav, než byla 25. června nasazena finální záplata.

Open VSX Registry je open-source projekt a alternativa k Visual Studio Marketplace. Je spravován nadací Eclipse Foundation. Několik editorů kódu, jako jsou Cursor, Windsurf, Google Cloud Shell Editor, Gitpod a další, jej integruje do svých služeb.

„Tato široká adopce znamená, že kompromitace Open VSX je noční můrou pro dodavatelský řetězec,“ uvedl Yomtov. „Pokaždé, když je nainstalováno rozšíření nebo je na pozadí tiše stažena jeho aktualizace, tyto akce procházejí přes Open VSX.“

Zranitelnost objevená Koi Security má kořeny v repozitáři publish-extensions, který obsahuje skripty pro publikování open-source rozšíření VS Code na open-vsx.org.

Vývojáři mohou požádat o automatické publikování svého rozšíření podáním pull requestu, aby bylo přidáno do souboru extensions.json přítomného v repozitáři, po jehož schválení a sloučení je publikováno. Na pozadí tento proces probíhá prostřednictvím workflow GitHub Actions, které se spouští denně ve 03:03 UTC a jako vstup bere seznam rozšíření oddělených čárkami ze souboru JSON a publikuje je do registru pomocí balíčku vsce npm.

Zdroj: TheHackerNews

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS