36.000 descargas y decenas de claves robadas: Eclipse Foundation limpia Open VSX tras un ataque a VS Code
En riesgo las extensiones instaladas en los equipos de trabajo de desarrolladores de todo el mundo.
Eclipse Foundation revocó varios tokens de acceso comprometidos, relacionados con la publicación de extensiones en el repositorio abierto Open VSX. La verificación fue iniciada por una publicación de la empresa Wiz, especializada en seguridad en la nube. A principios de octubre, los especialistas de la empresa descubrieron que en algunas extensiones para Visual Studio Code, alojadas en la tienda oficial de Microsoft y en Open VSX, se habían subido accidentalmente tokens activos. Estas filtraciones suponen un riesgo, ya que permiten a usuarios externos intervenir en el código fuente, sustituir el contenido de las extensiones y distribuir actualizaciones maliciosas.
Según el jefe de seguridad de Eclipse Foundation, las claves comprometidas se encontraron en repositorios individuales, pero las filtraciones fueron culpa de los desarrolladores y no estuvieron relacionadas con vulnerabilidades en la infraestructura de Open VSX. Como resultado del análisis, el equipo confirmó que los tokens podrían haber sido utilizados para publicar versiones falsas o introducir cambios no deseados en extensiones existentes.
Para reducir el riesgo de incidentes similares en el futuro, Open VSX, junto con Microsoft Security Response Center, desarrollaron un nuevo sistema de prefijos para los tokens. Todas las nuevas claves ahora incluyen el prefijo especial «ovsxp_», lo que facilita su detección en las comprobaciones automáticas. Además, se han introducido cambios en el propio proceso de gestión de claves: la caducidad ahora está limitada por defecto, y la revocación de tokens se ha vuelto más sencilla y rápida al recibir notificaciones de compromiso.
Además, el equipo eliminó del registro todas las extensiones mencionadas en el informe de Koi Security dentro de la campaña denominada GlassWorm. Se subraya que, pese al nombre, no se trata de un gusano informático clásico. La propagación de código malicioso requiere la obtención previa de las credenciales de los desarrolladores, lo que excluye la infección automática. Según los representantes de Eclipse Foundation, el número real de usuarios afectados es considerablemente inferior a los 35 800 descargas declaradas, ya que parte de las descargas fue generada por bots y los atacantes inflaron artificialmente la cifra.
Además de las medidas ya implementadas, Open VSX planea ampliar la comprobación automática de extensiones en la etapa de publicación. Las comprobaciones incluirán análisis para detectar patrones maliciosos y secretos filtrados. Estos pasos buscan reforzar la protección del ecosistema y minimizar las amenazas para los desarrolladores y las empresas que utilizan extensiones de terceros. Los representantes de la fundación subrayan que la resiliencia de la cadena de suministro depende de todos los participantes: los autores deben vigilar la seguridad de sus propias claves, y los administradores deben reaccionar con rapidez ante los incidentes.
¿Estás cansado de que Internet sepa todo sobre ti?