La Fundación Eclipse, que mantiene el proyecto Open VSX de código abierto, dijo que ha tomado medidas para revocar una pequeña cantidad de tokens que se filtraron dentro de las extensiones de Visual Studio Code (VS Code) publicadas en el mercado.
La acción se produce después de un informe de la empresa de seguridad en la nube Wiz a principios de este mes, que encontró que varias extensiones de VS Code Marketplace y Open VSX de Microsoft habían expuesto inadvertidamente sus tokens de acceso dentro de repositorios públicos, lo que potencialmente permitía a los malos actores tomar el control y distribuir malware, envenenando efectivamente la cadena de suministro de extensiones.
«Tras la investigación, confirmamos que se había filtrado una pequeña cantidad de tokens y que potencialmente se podría abusar de ellos para publicar o modificar extensiones», dijo en un comunicado Mikaël Barbero, jefe de seguridad de la Fundación Eclipse. «Estas exposiciones fueron causadas por errores de los desarrolladores, no por un compromiso de la infraestructura Open VSX».
Open VSX dijo que también introdujo un formato de prefijo de token «ovsxp_» en colaboración con el Centro de respuesta de seguridad de Microsoft (MSRC) para facilitar la búsqueda de tokens expuestos en repositorios públicos.
Además, los mantenedores del registro dijeron que identificaron y eliminaron todas las extensiones que Koi Security marcó recientemente como parte de una campaña llamada «GlassWorm», al tiempo que enfatizaron que el malware distribuido a través de la actividad no era un «gusano autorreplicante» en el sentido de que primero necesita robar las credenciales del desarrollador para ampliar su alcance.
«También creemos que el recuento de descargas reportado de 35.800 exagera el número real de usuarios afectados, ya que incluye descargas infladas generadas por bots y tácticas de aumento de visibilidad utilizadas por los actores de amenazas», añadió Barbero.
Open VSX dijo que también está en el proceso de aplicar una serie de cambios de seguridad para reforzar la cadena de suministro, que incluyen:
- Reducir los límites de vida útil del token de forma predeterminada para reducir el impacto de las fugas accidentales
- Facilitar la revocación de tokens tras la notificación
- Escaneo automatizado de extensiones en el momento de la publicación para verificar patrones de código malicioso o secretos incrustados.
Las nuevas medidas para fortalecer la resiliencia cibernética del ecosistema se producen en un momento en que el ecosistema de proveedores de software y los desarrolladores se están convirtiendo cada vez más en el objetivo de ataques, lo que permite a los atacantes un acceso persistente y de gran alcance a los entornos empresariales.
«Incidentes como este nos recuerdan que la seguridad de la cadena de suministro es una responsabilidad compartida: desde los editores que administran sus tokens con cuidado hasta los mantenedores de registros que mejoran las capacidades de detección y respuesta», dijo Barbero.