Açık VSX kayıt defterinde yeni açıklanan kritik bir güvenlik açığı olan Visual Studio Kodu (VS kod) uzantıları için açık kaynaklı pazar, dünya çapında milyonlarca geliştiriciyi yıkıcı tedarik zinciri saldırıları riskine koydu.
KOI Security’de siber güvenlik araştırmacıları tarafından keşfedilen kusur, saldırganların tüm uzantılar pazarının kontrolünü ele geçirmesine izin verebilir ve bu da dünya çapında geliştirici ortamlarına kötü amaçlı güncellemelerin sessiz dağılımını sağlayabilir.
Geliştirici ekosistemi üzerindeki yaygın etki
Eclipse Foundation tarafından korunan Open VSX, imleç, Windsurf, Vscodium, GITPOD, Google Cloud Shell Editor ve Stackblitz dahil olmak üzere geniş bir VS kod çatalları ve bulut tabanlı geliştirme ortamları için birincil uzantı pazarı olarak hizmet vermektedir.
.png
)
8 milyondan fazla geliştirici ve çok sayıda kuruluş günlük iş akışları için açık VSX’e güvenerek platformu modern yazılım geliştirme tedarik zincirinin kritik bir bileşeni haline getiriyor.
Güvenlik açığı, VSX’i açmak için uzantıların yayınlanmasını yöneten sürekli entegrasyon (CI) sisteminde yanlış yapılandırmadan kaynaklandı.
Özellikle, GitHub Eylemleri iş akışındaki bir kusur, ayrıcalıklı kimlik bilgileriyle keyfi kod yürütülmesine izin verdi.
Bu, kötü niyetli bir aktörün pazarın süper admin jetonunu söndürebileceği ve onlara kayıt defterinde herhangi bir uzantıyı yayınlama veya üzerine yazma yeteneği sağlayabileceği anlamına geliyordu.
Tedarik Zinciri Kabusu
Piyasa üzerinde kontrol ile bir saldırgan, açık VSX’te bulunan her uzantıya kötü amaçlı güncellemeleri zorlayabilir.
VS kodundaki uzantılar ve çatalları önemli ayrıcalıklarla çalıştığından, uzlaşma keyfi kodlar yürütebilir, kimlik bilgileri çalabilir, kötü amaçlı yazılımlar çalabilir veya geliştiricilerin projelerine geri dönebilir ve aşağı akış tüketicilerini ve işletmeleri infamöz solarwinds saldırısını anımsatan bir şekilde etkileyebilir.
Risk özellikle akuttu, çünkü uzatma güncellemeleri genellikle otomatik veya sessizce arka plana kurulur ve kullanıcı etkileşimi gerektirmez.
Bu, milyonlarca geliştiricinin ve kuruluşun sadece tercih ettikleri kod düzenleyicisini kullanarak tehlikeye atılmış olabileceği anlamına gelir.
KOI Security, 4 Mayıs 2025’teki güvenlik açığını sorumlu bir şekilde açıkladı. Açık VSX koruyucular derhal yanıt verdi ve son yama 25 Haziran 2025’te uygulanan birden fazla düzeltme turu uyguladı.
Hemen tehdit nötralize edilmiş olsa da, olay yazılım tedarik zincirleriyle ilişkili artan risklerin ve uzatma ekosistemlerinin ayrıcalıklı doğasının altını çizmektedir.
Güvenlik uzmanları, kuruluşları ve bireysel geliştiricileri pazar yeri tarafından teslim edilen yazılımlara sıfır tröst yaklaşımı benimsemeye, kurulu uzantıların titiz stoklarını korumaya ve şüpheli etkinlikleri sürekli olarak izlemeye çağırıyor.
Üçüncü taraf kodu, geliştirme iş akışlarının giderek daha ayrılmaz hale geldiği için, yazılım tedarik zincirini korumak için sağlam yönetişim ve proaktif risk yönetimi şarttır.
Bu olay keskin bir hatırlatma görevi görür: her uzatma potansiyel bir arka kapıdır ve geliştirme ekosisteminin güvenliği sadece en zayıf bağlantısı kadar güçlüdür.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin