Açık kaynaklı Open VSX projesini sürdüren Eclipse Foundation, piyasada yayınlanan Visual Studio Code (VS Code) uzantılarında sızdırılan az sayıda tokenın iptal edilmesi için adımlar attığını söyledi.
Bu eylem, bulut güvenlik şirketi Wiz’in bu ayın başlarında hazırladığı ve Microsoft’un VS Code Marketplace ve Open VSX’indeki birçok uzantının, kamuya açık depolardaki erişim belirteçlerini yanlışlıkla açığa çıkardığını, potansiyel olarak kötü aktörlerin kontrolü ele geçirip kötü amaçlı yazılım dağıtmasına ve uzantı tedarik zincirini etkili bir şekilde zehirlemesine olanak sağladığını tespit eden bir raporun ardından geldi.
Eclipse Vakfı güvenlik sorumlusu Mikaël Barbero, yaptığı açıklamada, “İnceleme sonrasında, az sayıda tokenin sızdırıldığını ve uzantıları yayınlamak veya değiştirmek için potansiyel olarak kötüye kullanılabileceğini doğruladık.” dedi. “Bu açığa çıkmalar Open VSX altyapısının tehlikeye atılmasından değil, geliştirici hatalarından kaynaklandı.”
Open VSX ayrıca, halka açık depolarda açığa çıkan tokenlerin taranmasını kolaylaştırmak için Microsoft Güvenlik Yanıt Merkezi (MSRC) ile işbirliği içinde bir token öneki formatı olan “ovsxp_”yi de tanıttığını söyledi.
Ayrıca kayıt defteri yöneticileri, Koi Security tarafından “GlassWorm” adlı bir kampanyanın parçası olarak yakın zamanda işaretlenen tüm uzantıları tespit edip kaldırdıklarını söylerken, etkinlik aracılığıyla dağıtılan kötü amaçlı yazılımın “kendi kendini kopyalayan bir solucan” olmadığını, erişimini genişletmek için öncelikle geliştirici kimlik bilgilerini çalması gerektiğini vurguladı.
Barbero, “Ayrıca, botlar tarafından oluşturulan şişirilmiş indirmeleri ve tehdit aktörleri tarafından kullanılan görünürlüğü artırma taktiklerini de içerdiğinden, bildirilen 35.800 indirme sayısının, etkilenen gerçek kullanıcı sayısını abarttığına inanıyoruz.” diye ekledi.
Open VSX, tedarik zincirini desteklemek için bir dizi güvenlik değişikliğini de uygulama sürecinde olduğunu söyledi:
- Kazara meydana gelen sızıntıların etkisini azaltmak için token ömrü sınırlarının varsayılan olarak azaltılması
- Bildirim üzerine jetonun iptalini kolaylaştırmak
- Kötü amaçlı kod kalıplarını veya gömülü sırları kontrol etmek için yayınlanma sırasında uzantıların otomatik olarak taranması
Ekosistemin siber dayanıklılığını güçlendirmeye yönelik yeni önlemler, yazılım tedarikçisi ekosistemi ve geliştiricilerin giderek daha fazla saldırıların hedefi haline gelmesi ve saldırganların kurumsal ortamlara geniş kapsamlı, kalıcı erişim sağlamasıyla birlikte geliyor.
Barbero, “Bunun gibi olaylar bize tedarik zinciri güvenliğinin ortak bir sorumluluk olduğunu hatırlatıyor: yayıncıların tokenlerini dikkatli bir şekilde yönetmesinden, tespit ve yanıt yeteneklerini geliştiren kayıt defteri yöneticilerine kadar.” dedi.