La Fundación Desvanecimiento, que mantiene el plan Open VSX de código campechano, dijo que ha tomado medidas para revocar una pequeña cantidad de tokens que se filtraron en el interior de las extensiones de Visual Studio Code (VS Code) publicadas en el mercado.
La bono se produce a posteriori de un crónica de la empresa de seguridad en la nimbo Wiz a principios de este mes, que encontró que varias extensiones de VS Code Marketplace y Open VSX de Microsoft habían expuesto inadvertidamente sus tokens de entrada en el interior de repositorios públicos, lo que potencialmente permitía a los malos actores tomar el control y distribuir malware, envenenando efectivamente la esclavitud de suministro de extensiones.
“Tras la investigación, confirmamos que se había filtrado una pequeña cantidad de tokens y que potencialmente se podría aprovecharse de ellos para difundir o modificar extensiones”, dijo en un comunicado Mikaël Rapador, jerarca de seguridad de la Fundación Desvanecimiento. “Estas exposiciones fueron causadas por errores de los desarrolladores, no por un compromiso de la infraestructura Open VSX”.
Open VSX dijo que todavía introdujo un formato de prefijo de token “ovsxp_” en colaboración con el Centro de respuesta de seguridad de Microsoft (MSRC) para allanar la búsqueda de tokens expuestos en repositorios públicos.
Encima, los mantenedores del registro dijeron que identificaron y eliminaron todas las extensiones que Koi Security marcó recientemente como parte de una campaña emplazamiento “GlassWorm”, al tiempo que enfatizaron que el malware distribuido a través de la actividad no era un “tenia autorreplicante” en el sentido de que primero necesita robar las credenciales del desarrollador para ampliar su efecto.
“Asimismo creemos que el recuento de descargas reportado de 35.800 exagera el número existente de usuarios afectados, ya que incluye descargas infladas generadas por bots y tácticas de aumento de visibilidad utilizadas por los actores de amenazas”, añadió Rapador.
Open VSX dijo que todavía está en el proceso de aplicar una serie de cambios de seguridad para animar la esclavitud de suministro, que incluyen:
- Sujetar los límites de vida útil del token de forma predeterminada para estrechar el impacto de las fugas accidentales
- Suministrar la revocación de tokens tras la notificación
- Escaneo automatizado de extensiones en el momento de la publicación para repasar patrones de código pillo o secretos incrustados.
Las nuevas medidas para reforzar la resiliencia cibernética del ecosistema se producen en un momento en que el ecosistema de proveedores de software y los desarrolladores se están convirtiendo cada vez más en el objetivo de ataques, lo que permite a los atacantes un entrada persistente y de gran efecto a los entornos empresariales.
“Incidentes como este nos recuerdan que la seguridad de la esclavitud de suministro es una responsabilidad compartida: desde los editores que administran sus tokens con cuidado hasta los mantenedores de registros que mejoran las capacidades de detección y respuesta”, dijo Rapador.
