Open VSX Registry ve Eclipse Foundation, açığa çıkan geliştirici belirteçleri ve kötü amaçlı uzantıları içeren önemli bir güvenlik olayıyla ilgili araştırmalarını tamamladı.
Kapsamlı yanıt, platformun ihlalin ardından tüm VS Code uzantı ekosistemindeki savunmaları nasıl güçlendirdiğini ortaya koyuyor.
Güvenlik olayı, Wiz’deki araştırmacıların, geliştiricilerin kamuya açık depolarda yanlışlıkla açığa çıkardığı birden fazla uzantı yayınlama belirtecini tespit etmesiyle başladı.
Soruşturma, Open VSX hesaplarıyla ilişkili sınırlı sayıda tokenın ele geçirildiğini doğruladı ve saldırganların izinsiz olarak uzantıları yayınlaması veya değiştirmesi için doğrudan bir yol oluşturdu.
Open VSX ekibi, bu açığa çıkmaların altyapının tehlikeye atılmasından ziyade geliştirici hatalarından kaynaklandığını vurguladı ve etkilenen tüm tokenleri keşif üzerine derhal iptal etti. Bu açığa çıkma, geliştirme iş akışında hassas kimlik bilgilerinin kolayca sürüm kontrol sistemlerine sızabileceği kritik bir güvenlik açığını vurguladı.
Tehdidi Anlamak
Open VSX, geliştiricilerin ve güvenlik ekiplerinin güvenliği ihlal edilmiş kimlik bilgilerini daha hızlı tanımlamasına olanak tanıyan, açıkta kalan belirteçlerin genel depolarda daha kolay ve daha doğru şekilde taranması için özel olarak tasarlanmış yeni bir belirteç öneki formatı sunmak üzere Microsoft Güvenlik Yanıt Merkezi ile işbirliği yaptı.
Koi Security’deki güvenlik araştırmacıları daha sonra, platformda kötü amaçlı uzantılar yayınlamak için sızdırılan tokenlardan yararlanan “GlassWorm” adlı koordineli bir kötü amaçlı yazılım kampanyası tespit etti.
İlk raporlar bunu npm’deki ShaiHulud olayıyla karşılaştırılabilecek şekilde kendi kendine yayılan bir solucan olarak nitelendirirken, Open VSX, kötü amaçlı yazılımın farklı şekilde çalıştığını açıkladı.
Uzantılar, saldırganların ekosistem genelinde erişimlerini genişletmelerine olanak tanıyacak şekilde geliştirici kimlik bilgilerini çalmak üzere tasarlandı, ancak kötü amaçlı yazılım sistemler arasında bağımsız olarak çoğalmadı veya yayılmadı.
Kampanya, birçok kötü amaçlı uzantının kaldırılmadan önce pazara ulaşmasıyla sonuçlandı. Open VSX, belirlenen tüm kötü amaçlı uzantıları bildirim üzerine hemen kaldırdı ve ilgili belirteçleri gecikmeden iptal etti veya rotasyona tabi tuttu.
Ancak bildirilen indirme istatistikleri bağlam gerektirir. Bahsedilen 35.800 indirme rakamı, bot trafiğinin oluşturduğu şişirilmiş sayıları ve tehdit aktörleri tarafından kullanılan görünürlüğü artırma taktiklerini içeriyor ve potansiyel olarak gerçek kullanıcı etkisini abartıyor.
21 Ekim 2025 itibarıyla Open VSX, olayın devam eden bir risk veya platformda kalan kötü amaçlı uzantılara dair hiçbir belirti olmadan tamamen kontrol altına alındığını duyurdu.
Yanıt, sızıntının etkisini sınırlamak için daha kısa varsayılan belirteç geçerlilik sürelerinin uygulanması, daha hızlı yanıt süreleri için belirteç iptal iş akışlarının kolaylaştırılması ve uzantılar kullanıcılara ulaşmadan önce kötü amaçlı kod modellerini tespit etmek için yayın sırasında otomatik güvenlik taramasının dağıtılması da dahil olmak üzere platform güvenliğini güçlendiren somut iyileştirmelere yol açtı.
Open VSX, şeffaflığı korumak ve önleyici tedbirleri güçlendirmek için etkilenen geliştiriciler, ekosistem ortakları ve bağımsız araştırmacılarla yoğun işbirliğini sürdürüyor.
Bu iyileştirmeler, güvenlik olaylarının, yıkıcı olsa da, ekosistemin anlamlı şekilde güçlendirilmesini nasıl sağlayabileceğini ve açık kaynak uzantı pazarlarına dayanan daha geniş geliştirici topluluğu için nasıl daha güçlü korumalar sağlayabileceğini gösteriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
