Сообщество Open VSX Registry и Eclipse Foundation оперативно отреагировали на серьезный инцидент информационной безопасности, связанный с компрометацией токенов аутентификации и распространением вредоносных расширений на популярной площадке для распространения расширений VS Code. Организация подтвердила полную локализацию угрозы и представила конкретные меры по предотвращению подобных атак в будущем.
В начале октября специалисты по безопасности компании Wiz обнаружили несколько токенов разработчиков, случайно размещенных в публичных репозиториях. Эти токены, предоставляющие права на публикацию и модификацию расширений, принадлежали учетным записям Open VSX Registry - сообществу разработчиков, поддерживающему рынок расширений для VS Code, которым пользуются программисты по всему миру.
Расследование подтвердило, что часть скомпрометированных токенов действительно была использована злоумышленниками. Важно отметить, что утечка произошла по вине самих разработчиков, а не из-за нарушений в инфраструктуре Open VSX. Команда немедленно отозвала все затронутые токены, чтобы предотвратить дальнейшее злоупотребление.
Для усиления возможностей обнаружения Open VSR совместно с Центром реагирования на угрозы безопасности Microsoft (MSRC) внедрила специальный префиксный формат токенов. Этот новый формат значительно упрощает сканирование публичных репозиториев и идентификацию раскрытых токенов до того, как злоумышленники смогут их использовать.
Параллельно компания Koi Security сообщила о вредоносной кампании под названием "GlassWorm", в рамках которой использовались некоторые из незащищенных токенов для публикации вредоносных расширений. Эти расширения были разработаны для кражи учетных данных разработчиков, что позволяло атакующим расширять свое влияние в экосистеме.
Хотя первоначальные отчеты описывали эту угрозу как "самораспространяющегося червя", в Open VSX уточнили, что вредоносное программное обеспечение не обладало функцией автономной репликации. Вместо этого оно полагалось на кражу учетных данных для облегчения последующих атак. Организация также отметила, что заявленные цифры в 35 800 загрузок, вероятно, преувеличивают реальное воздействие, поскольку включают искусственные загрузки, сгенерированные ботами и манипуляционные тактики, используемые субъектами угроз.
Команда Open VSX действовала оперативно, удалив все известные вредоносных расширения с платформы и немедленно отозвав связанные токены после получения уведомления. По состоянию на 21 октября 2025 года организация считает инцидент полностью локализованным, без доказательств продолжающейся компрометации или оставшегося вредоносного контента.
Этот инцидент подчеркнул важность безопасности цепочки поставок в экосистемах с открытым исходным кодом. Open VSX внедряет несколько ключевых улучшений для усиления безопасности платформы. Сроки действия токенов будут сокращены по умолчанию, что уменьшит окно возможностей в случае утечки токенов. Организация также упрощает процедуры отзыва токенов и добавляет автоматическое сканирование безопасности во время публикации для обнаружения вредоносных шаблонов кода до того, как расширения достигнут пользователей.
Дополнительно Open VSX расширяет сотрудничество с другими операторами рынков для обмена разведывательными данными об угрозах и передовыми практиками безопасности по всей экосистеме. Организация подчеркивает, что безопасность цепочки поставок является общей ответственностью между разработчиками, сопровождающими реестра и более широким сообществом.
Open VSX сохраняет приверженность поддержанию прозрачности и построению более устойчивой среды с открытым исходным кодом, где инновации могут продолжаться безопасно и надежно. Этот инцидент служит важным напоминанием для разработчиков о необходимости ответственного хранения учетных данных и соблюдения лучших практик безопасности при работе с токенами доступа к критически важным ресурсам.
