Open VSX ekibi ve Eclipse Vakfı, popüler kod pazarlarında sızdırılan kimlik doğrulama belirteçleri ve kötü amaçlı uzantıları içeren önemli bir güvenlik olayını ele aldı.
Kuruluş artık durumu kontrol altına aldı ve gelecekteki saldırıları önlemek için somut adımların ana hatlarını çizdi.
Bu ayın başlarında Wiz’deki güvenlik araştırmacıları, kazara halka açık depolarda açığa çıkan birkaç geliştirici tokenı tespit etti.
Geliştiricilerin uzantıları yayınlamasına ve değiştirmesine olanak tanıyan bu belirteçler, dünya çapındaki geliştiriciler tarafından kullanılan VS Code uzantıları için topluluk odaklı bir pazar yeri olan Open VSX Registry’deki hesaplara aitti.
Soruşturmanın ardından Open VSX ekibi, sızdırılan bu tokenlardan bazılarının gerçekten tehlikeye atıldığını ve kötü niyetli olarak kullanıldığını doğruladı.
Ancak kuruluş, ifşanın Open VSX’in kendi altyapısının ihlalinden değil, geliştirici hatalarından kaynaklandığını vurguladı. Ekip, daha fazla kötüye kullanımı önlemek için etkilenen tüm tokenleri derhal iptal etti.
Open VSX, ileriye yönelik algılama yeteneklerini güçlendirmek için Microsoft’un Güvenlik Yanıt Merkezi (MSRC) ile işbirliği yaparak özel bir belirteç öneki formatı sundu.
Bu yeni format, genel depoların taranmasını ve saldırganların bunları istismar etmeden önce açıkta kalan tokenleri tespit etmesini önemli ölçüde kolaylaştırıyor.
Kötü Amaçlı Yazılım Kampanyası
Aynı sıralarda, güvenlik firması Koi Security, “GlassWorm” adlı bir kötü amaçlı yazılım kampanyasının bu açığa çıkan token’lardan bazılarını kötü amaçlı uzantılar yayınlamak için kullandığını bildirdi.
Uzantılar, geliştirici kimlik bilgilerini çalarak saldırganların ekosistem genelinde erişimlerini genişletmelerine olanak sağlayacak şekilde tasarlandı.
İlk raporlar bunu “kendi kendine yayılan bir solucan” olarak tanımlasa da Open VSX, kötü amaçlı yazılımın kendisini otonom olarak kopyalamadığını açıkladı.
Bunun yerine, daha fazla saldırıyı kolaylaştırmak için kimlik bilgilerinin çalınmasına güvendi. Kuruluş ayrıca, botlar tarafından oluşturulan yapay indirmeleri ve tehdit aktörleri tarafından kullanılan manipülasyon taktiklerini içerdiğinden, bildirilen 35.800 indirme rakamının muhtemelen gerçek etkiyi abarttığını belirtti.
Open VSX ekibi hızlı bir şekilde harekete geçerek bilinen tüm kötü amaçlı uzantıları platformdan kaldırdı ve ilgili belirteçleri bildirim üzerine derhal iptal etti.
Kuruluş, 21 Ekim 2025 itibarıyla olayın devam eden bir güvenlik ihlali veya kötü amaçlı içerik kaldığına dair hiçbir kanıt olmadan tamamen kontrol altına alındığını değerlendiriyor.
Bu olay, açık kaynak ekosistemlerinde tedarik zinciri güvenliğinin önemini vurguladı. Open VSX, platform güvenliğini güçlendirmek için çeşitli önemli iyileştirmeler uyguluyor.
Token geçerlilik süreleri varsayılan olarak kısaltılacak ve tokenların sızması durumunda fırsat penceresi azaltılacaktır.
Kuruluş ayrıca, token iptal prosedürlerini kolaylaştırıyor ve uzantılar kullanıcılara ulaşmadan önce kötü amaçlı kod modellerini tespit etmek için yayın sırasında otomatik güvenlik taraması ekliyor.
Ek olarak Open VSX, ekosistem genelinde tehdit istihbaratını ve güvenlikle ilgili en iyi uygulamaları paylaşmak için diğer pazar yeri operatörleriyle işbirliğini genişletiyor.
Kuruluş, tedarik zinciri güvenliğinin geliştiriciler, kayıt sahipleri ve daha geniş topluluk arasında paylaşılan bir sorumluluk olduğunu vurguladı.
Open VSX, şeffaflığı korumaya ve inovasyonun güvenli ve emniyetli bir şekilde devam edebileceği daha dayanıklı bir açık kaynak ortamı oluşturmaya kararlıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.