Open VSX kayıt defteri, geliştiriciler tarafından halka açık depolarda yanlışlıkla sızdırıldıktan sonra erişim belirteçlerini döndürdü ve tehdit aktörlerinin bir tedarik zinciri saldırısında kötü amaçlı uzantılar yayınlamasına izin verdi.
Sızıntı, Wiz araştırmacıları tarafından iki hafta önce Microsoft VSCode ve Open VSX pazarlarında 550’den fazla sırrın açığa çıktığını bildirdikleri zaman keşfedildi.
Bu sırlardan bazılarının 150.000 indirmeye sahip projelere erişim sağlayabileceği, tehdit aktörlerinin uzantının kötü amaçlı sürümlerini yüklemesine olanak tanıyabileceği ve önemli bir tedarik zinciri riski oluşturabileceği bildiriliyor.
Eclipse Foundation altında geliştirilen Open VSX, VSCode IDE için uzantılar sunan bir platform olan Microsoft’un Visual Studio Marketplace’ine açık kaynaklı bir alternatiftir.
Open VSX, Microsoft’un platformunu kullanamayan Cursor ve Windsurf gibi yapay zeka destekli çatallarda kullanılmak üzere VS Code uyumlu uzantılar için topluluk odaklı bir kayıt defteri görevi görür.
Sızan tokenlardan bazıları, birkaç gün sonra ‘GlassWorm’ adı verilen bir kötü amaçlı yazılım kampanyasında kullanıldı.
Koi Güvenlik araştırmacıları, GlassWorm’un, geliştirici kimlik bilgilerini çalmaya ve ulaşılabilir projelerde kademeli ihlalleri tetiklemeye çalışan, görünmez Unicode karakterlerin içine gizlenmiş, kendi kendine yayılan bir kötü amaçlı yazılım kullandığını bildirdi.
Bu saldırılar aynı zamanda 49 uzantıdan gelen kripto para cüzdanı verilerini de hedef aldı; bu da saldırganların amacının muhtemelen finansal kazanç olduğunu gösteriyor.
Open VSX ekibi ve Eclipse Vakfı, kampanya hakkında bir blog yazısı yayınladı ve tokenleri sızdırdı; GlassWorm’un geliştirici kimlik bilgilerini hedef almasına rağmen aslında kendi kendini kopyalamadığını belirtti.
Open VSX ekibi, “Söz konusu kötü amaçlı yazılım, daha sonra saldırganın erişim alanını genişletmek için kullanılabilecek geliştirici kimlik bilgilerini çalmak üzere tasarlandı, ancak sistemler veya kullanıcı makineleri boyunca otonom olarak yayılmadı” diye açıklıyor.
“Ayrıca, botlar tarafından oluşturulan şişirilmiş indirmeleri ve tehdit aktörleri tarafından kullanılan görünürlüğü artırma taktiklerini de içerdiğinden, bildirilen 35.800 indirme sayısının, etkilenen gerçek kullanıcı sayısını olduğundan fazla gösterdiğine inanıyoruz.”
Buna rağmen tehdit, bildirimin ardından hızla kontrol altına alındı ve 21 Ekim itibarıyla tüm kötü amaçlı uzantılar Open VSX kayıt defterinden kaldırıldı ve ilgili belirteçler döndürüldü veya iptal edildi.
Open VSX, olayın devam eden bir etki olmadan tamamen kontrol altına alındığını ve gelecekteki bir saldırıyı önlemek için ek güvenlik önlemleri uygulamayı planladıklarını doğruladı.
Bu güvenlik geliştirmeleri aşağıda özetlenmiştir:
- Maruz kalma etkisini azaltmak için belirteç ömrünü kısaltın.
- Sızan kimlik bilgileri için daha hızlı iptal iş akışları kullanın.
- Yayınlama sırasında uzantılar için otomatik güvenlik taramaları gerçekleştirin.
- Tehdit istihbaratını paylaşmak için VS Code ve diğer pazaryerleriyle işbirliği yapın.
BleepingComputer, Eclipse Foundation’a toplamda kaç tokenin döndürüldüğünü sormak için bir e-posta gönderdi ancak henüz bir açıklama yapılmadı.
Bu arada Aikido, GlassWorm’un arkasındaki aynı tehdit aktörlerinin artık GitHub’a taşındığını ve burada kötü niyetli yüklerini gizlemek için aynı Unicode steganografi hilesini kullandıklarını bildirdi.
Araştırmacılar, operasyonun halihazırda birden fazla veri havuzuna yayıldığını ve bunların çoğunun JavaScript projelerine odaklandığını belirtiyor.
GitHub’a dönüş, tehdidin aktif kaldığını ve açığa çıktıktan sonra açık kaynaklı ekosistemler arasında hızla döndüğünü gösteriyor.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.