Siber güvenlik araştırmacıları açık VSX kayıt defterinde kritik bir güvenlik açığını açıkladı (“Open-vsx[.]Org “), başarılı bir şekilde sömürülürse, saldırganların tüm Visual Studio Kodu Uzantıları pazarının kontrolünü ele geçirmesini sağlayarak ciddi bir tedarik zinciri riski oluşturabilirdi.
KOI güvenlik araştırmacısı Oren Yomtov, “Bu güvenlik açığı, saldırganlara tüm uzantılar pazarında tam kontrol sağlıyor ve buna karşılık milyonlarca geliştirici makinesi üzerinde tam kontrol sağlıyor.” Dedi. Diyerek şöyle devam etti: “Bir CI sorunundan yararlanarak, kötü niyetli bir aktör, Open VSX üzerindeki her uzantıya kötü amaçlı güncellemeler yayınlayabilir.”
4 Mayıs 2025’teki sorumlu açıklamanın ardından, 25 Haziran’da konuşlandırılmadan önce, bakımcılar tarafından çok sayıda düzeltme turu önerildi.
Open VSX kayıt defteri açık kaynaklı bir projedir ve Visual Studio Marketplace’e alternatiftir. Eclipse Vakfı tarafından korunuyor. İmleci, Windsurf, Google Cloud Shell Editor, GITPOD ve diğerleri gibi çeşitli kod editörleri bunu hizmetlerine entegre eder.
Yomtov, “Bu yaygın benimseme, açık VSX’in uzlaşmasının bir tedarik zinciri kabusu senaryosu olduğu anlamına geliyor.” Dedi. “Bir uzantı her kurulduğunda veya arka planda sessizce bir uzantı güncellemesi getirildiğinde, bu eylemler açık VSX’den geçer.”
KOI Security tarafından keşfedilen güvenlik açığı, Open-vsx.org adresine açık kaynaklı ve kod uzantıları yayınlamak için komut dosyaları içeren yayın-uzatma deposundan kaynaklanmaktadır.
Geliştiriciler, depoda bulunan extensions.json dosyasına eklemek için bir çekme isteği göndererek uzantılarından otomatik olarak yayınlanmasını isteyebilir, daha sonra onaylanır ve birleştirilir.
Arka uçta, bu, JSON dosyasından virgülle ayrılmış uzantıların bir listesini giren ve VSCE NPM paketini kullanarak kayıt defterine yayınlayan bir GitHub Eylemler iş akışı şeklinde oynar.
Yomtov, “Bu iş akışı, pazarda herhangi bir uzantıyı yayınlama (veya üzerine yazma) gücüne sahip @open-vsx hizmet hesabının gizli bir jetonu (OVSX_PAT) dahil olmak üzere ayrıcalıklı kimlik bilgileriyle çalışıyor.” Dedi. “Teoride, sadece güvenilir kod bu jetonu görmelidir.”
“Güvenlik açığının kökü, NPM kurulumunun OVSX_PAT ortam değişkenine erişim sağlarken, otomatik olarak yayınlanan tüm uzantıların keyfi yapı komut dosyalarını ve bağımlılıklarını çalıştırmasıdır.”
Bu, @Open-VSX hesabının jetonuna erişim elde etmenin, açık VSX kayıt defterine ayrıcalıklı erişim sağlayabileceği ve bir saldırgana kötü niyetli kod eklemek için mevcut olanlarla yeni uzantılar yayınlama ve kurcalama yapabilme olanağı sağladığı anlamına gelir.
Uzantıların ortaya koyduğu risk, Nisan 2025 itibariyle ATT & CK çerçevesinde yeni bir “IDE uzantısı” tekniği getiren MITER tarafından fark edilmedi ve bu da kötü niyetli aktörler tarafından mağdur sistemlerine kalıcı erişim sağlamak için istismar edilebileceğini belirtti.
Yomtov, “Her pazar yeri potansiyel bir arka kapıdır.” Dedi. Diyerek şöyle devam etti: “Ayrıcalıklı erişime sahip özelliksiz yazılım bağımlılıklarıdır ve PYPI, NPM, Hugginface veya Github’dan herhangi bir paketle aynı özeni hak ediyorlar. Kontrol edilmeden bırakılırsa, saldırganların giderek daha fazla sömürüldüğü genişleyen, görünmez bir tedarik zinciri yaratıyorlar.”