Los investigadores de ciberseguridad han revelado una vulnerabilidad crítica en el registro Open VSX («Open-VSX (.) Org») que, si se explotan con éxito, podría sobrevenir permitido a los atacantes tomar el control de todo el mercado de extensiones de código de Visual Studio, planteando un aventura llano de la condena de suministro.
«Esta vulnerabilidad proporciona a los atacantes control total sobre todo el mercado de extensiones y, a su vez, el control total sobre millones de máquinas de desarrolladores», dijo el investigador de seguridad de KOI, Oren Yomtov. «Al explotar un problema de CI, un actor taimado podría difundir actualizaciones maliciosas en cada extensión en Open VSX».
Posteriormente de la divulgación responsable el 4 de mayo de 2025, los mantenedores propusieron las múltiples rondas de soluciones, ayer de que finalmente se despliegue el 25 de junio.
Open VSX Registry es un plan de código hendido y una alternativa al mercado de Visual Studio. Es mantenido por la Fundación Desvanecimiento. Varios editores de código como Cursor, Windsurf, Google Cloud Shell Editor, GitPod y otros lo integran en sus servicios.
«Esta acogida generalizada significa que un compromiso de Open VSX es un escena de pesadilla de condena de suministro», dijo Yomtov. «Cada vez que se instala una extensión, o una modernización de extensión obtenida en silencio en segundo plano, estas acciones pasan por Open VSX».
La vulnerabilidad descubierta por KOI Security está enraizada en el repositorio de extensiones de publicación, que incluye scripts para difundir extensiones de código abiertos vs a Open-vsx.org.
Los desarrolladores pueden solicitar que su extensión se publique automáticamente enviando una solicitud de procedencia para agregarla al archivo Extensions.json presente en el repositorio, a posteriori de lo cual está consentido y fusionado.
En el backend, esto se desarrolla en forma de un flujo de trabajo de acciones de GitHub que se ejecuta diariamente a las 03:03 a.m. UTC que toma como una serie de extensiones separadas por comas del archivo JSON y las publica en el registro utilizando el paquete VSCE NPM.
«Este flujo de trabajo se ejecuta con credenciales privilegiadas que incluyen un token secreto (OVSX_PAT) de la cuenta de servicio @Open-VSX que tiene el poder de difundir (o sobrescribir) cualquier extensión en el mercado», dijo Yomtov. «En teoría, solo el código de confianza debería ver esa ficha».
«La raíz de la vulnerabilidad es que la instalación de NPM ejecuta los scripts de compilación arbitrarios de todas las extensiones automáticas y sus dependencias, al tiempo que les proporciona acercamiento a la variable de entorno OVSX_PAT».
Esto significa que es posible obtener acercamiento al token de la cuenta de @Open-VSX, permitiendo el acercamiento privilegiado al registro Open VSX y proporcionar a un atacante la capacidad de difundir nuevas extensiones y manipular las existentes para insertar código taimado.
El aventura planteado por las extensiones no ha pasado desapercibido por Miter, que ha introducido una nueva técnica de «extensiones IDE» en su situación ATT & CK a partir de abril de 2025, afirmando que podría ser abusado de actores maliciosos para establecer un acercamiento persistente a los sistemas de víctimas.
«Cada artículo del mercado es una posible puerta trasera», dijo Yomtov. «Son dependencias de software sin veteranos con acercamiento privilegiado, y merecen la misma diligencia que cualquier paquete de PYPI, NPM, Hugginface o GitHub. Si no se controlan, crean una condena de suministro en expansión e invisible que los atacantes están cada vez más explotadores».
