Специалисты по кибербезопасности выявили серьёзную уязвимость в Open VSX Registry («open-vsx[.]org»), которая могла дать злоумышленникам полный контроль над маркетплейсом расширений Visual Studio Code и создать масштабную угрозу для всей цепочки поставок.
«Эта уязвимость позволяет хакерам завладеть маркетплейсом расширений и, соответственно, получить полный доступ к миллионам устройств разработчиков», — рассказал исследователь из Koi Security Орен Йомтов. — «Эксплуатируя проблему в процессе CI, злоумышленник мог бы выпускать злонамеренные обновления для любых расширений на Open VSX.»
После ответственного раскрытия информации 4 мая 2025 года команда Open VSX предложила ряд исправлений, которые были внедрены к 25 июня.
Open VSX Registry — проект с открытым исходным кодом, альтернатива Visual Studio Marketplace, поддерживаемая Eclipse Foundation. Его интегрировали в свои сервисы многие редакторы кода, включая Cursor, Windsurf, Google Cloud Shell Editor, Gitpod и другие.
«Широкая популярность Open VSX превращает его компрометацию в настоящую катастрофу в цепочке поставок», — пояснил Йомтов. — «Каждый раз, когда устанавливают или обновляют расширение, этот процесс проходит через Open VSX.»
Уязвимость была обнаружена в репозитории publish-extensions, где хранятся скрипты для публикации расширений VS Code в open-vsx.org.
Разработчики могут автоматически публиковать свои расширения, отправляя пулл-реквест с добавлением записи в файл extensions.json. Затем запрос проверяется и сливается с основной веткой.
В основе этого лежит GitHub Actions workflow, который ежедневно в 03:03 по UTC запускается, подгружает список расширений из JSON-файла и публикует их с помощью пакета vsce npm.
«Этот процесс работает с повышенными правами, включая секретный токен (OVSX_PAT) учётной записи @open-vsx, который позволяет публиковать или заменять любые расширения в маркетплейсе», — отметил Йомтов. — «Идеально, если бы этот токен был доступен лишь к проверенному коду.»
«Суть уязвимости в том, что при выполнении npm install запускаются любые скрипты сборки всех авто-публикуемых расширений и их зависимостей с доступом к переменной окружения OVSX_PAT.»
Проще говоря, злоумышленник может заполучить токен учётной записи @open-vsx, что даёт полный контроль над Open VSX Registry и возможность размещать новые или менять существующие расширения — и внедрять в них вредоносный код.
Опасность расширений уже привлекла внимание: в апреле 2025 года MITRE включила новую технику «IDE Extensions» в базу ATT&CK, отметив, что злоумышленники могут использовать её для устойчивого проникновения в системы жертв.
«Каждое расширение в маркетплейсе — потенциальная «черная дыра» безопасности», — предупреждает Йомтов. — «Это ненадёжные программные зависимости с расширенными правами, которых стоит бояться так же сильно, как пакетов из PyPI, npm, Huggingface или GitHub. Если не контролировать их внимательно, расширения формируют огромную и незаметную цепочку поставок, которую злоумышленники всё активнее используют для атак.»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru