A Eclipse Foundation, responsável pelo projeto open source Open VSX, anunciou medidas para revogar um número restrito de tokens que foram vazados em extensões do Visual Studio Code (VS Code) publicadas no marketplace.
A ação foi motivada por um alerta emitido no início deste mês pela empresa de segurança na nuvem Wiz.
A investigação identificou várias extensões, tanto no marketplace da Microsoft quanto no Open VSX, que expuseram acidentalmente seus tokens de acesso em repositórios públicos.
Essa falha pode permitir que agentes maliciosos assumam o controle e distribuam malware, comprometendo a cadeia de fornecimento dessas extensões.
“Após investigação, confirmamos que um número limitado de tokens foi vazado e poderia ser usado para publicar ou modificar extensões”, afirmou Mikaël Barbero, líder de segurança da Eclipse Foundation.
Ele esclareceu que essas exposições resultaram de erros dos desenvolvedores, e não de falhas na infraestrutura do Open VSX.
Em parceria com o Microsoft Security Response Center (MSRC), o Open VSX implementou um novo formato de prefixo para tokens, chamado “ovsxp_”, para facilitar a identificação e o rastreamento de tokens expostos em repositórios públicos.
Além disso, os mantenedores do registro identificaram e removeram todas as extensões recentemente apontadas pela Koi Security na campanha denominada “GlassWorm”.
Eles ressaltaram que o malware associado não é um worm autorreplicante: para se propagar, precisa inicialmente roubar credenciais de desenvolvedores.
“Também acreditamos que a contagem de 35.800 downloads divulgada está superestimada, incluindo números inflados por bots e técnicas usadas pelos atacantes para aumentar a visibilidade das extensões”, complementou Barbero.
Como parte das ações para fortalecer a segurança da cadeia de fornecimento, o Open VSX está implementando as seguintes medidas:
- Redução do tempo de vida padrão dos tokens, para minimizar os impactos decorrentes de vazamentos acidentais;
- Facilitação da revogação de tokens após notificações;
- Implementação de varreduras automatizadas nas extensões no momento da publicação, com o objetivo de identificar padrões de código malicioso ou segredos embutidos.
Essas iniciativas ocorrem num momento em que ecossistemas de software e desenvolvedores têm sido alvos crescentes de ataques, que oferecem aos criminosos acesso persistente e amplo a ambientes corporativos.
“Incidentes como este reforçam que a segurança da cadeia de fornecimento é uma responsabilidade compartilhada: dos publishers, que precisam gerenciar cuidadosamente seus tokens, até os mantenedores do registro, que devem aprimorar suas capacidades de detecção e resposta”, concluiu Barbero.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...