La Fundación Desmerecimiento, que mantiene el tesina Open VSX de código extenso, dijo que ha tomado medidas para revocar una pequeña cantidad de tokens que se filtraron interiormente de las extensiones de Visual Studio Code (VS Code) publicadas en el mercado.
La argumento se produce posteriormente de un mensaje de la empresa de seguridad en la abundancia Wiz a principios de este mes, que encontró que varias extensiones de VS Code Marketplace y Open VSX de Microsoft habían expuesto inadvertidamente sus tokens de ataque interiormente de repositorios públicos, lo que potencialmente permitía a los malos actores tomar el control y distribuir malware, envenenando efectivamente la sujeción de suministro de extensiones.
«Tras la investigación, confirmamos que se había filtrado una pequeña cantidad de tokens y que potencialmente se podría extralimitarse de ellos para informar o modificar extensiones», dijo en un comunicado Mikaël Peluquero, presidente de seguridad de la Fundación Desmerecimiento. «Estas exposiciones fueron causadas por errores de los desarrolladores, no por un compromiso de la infraestructura Open VSX».
Open VSX dijo que además introdujo un formato de prefijo de token «ovsxp_» en colaboración con el Centro de respuesta de seguridad de Microsoft (MSRC) para favorecer la búsqueda de tokens expuestos en repositorios públicos.
Por otra parte, los mantenedores del registro dijeron que identificaron y eliminaron todas las extensiones que Koi Security marcó recientemente como parte de una campaña citación «GlassWorm», al tiempo que enfatizaron que el malware distribuido a través de la actividad no era un «reptil autorreplicante» en el sentido de que primero necesita robar las credenciales del desarrollador para ampliar su capacidad.
«Igualmente creemos que el recuento de descargas reportado de 35.800 exagera el número vivo de usuarios afectados, ya que incluye descargas infladas generadas por bots y tácticas de aumento de visibilidad utilizadas por los actores de amenazas», añadió Peluquero.
Open VSX dijo que además está en el proceso de aplicar una serie de cambios de seguridad para aumentar la sujeción de suministro, que incluyen:
- Someter los límites de vida útil del token de forma predeterminada para disminuir el impacto de las fugas accidentales
- Proporcionar la revocación de tokens tras la notificación
- Escaneo automatizado de extensiones en el momento de la publicación para corroborar patrones de código desconfiado o secretos incrustados.
Las nuevas medidas para blindar la resiliencia cibernética del ecosistema se producen en un momento en que el ecosistema de proveedores de software y los desarrolladores se están convirtiendo cada vez más en el objetivo de ataques, lo que permite a los atacantes un ataque persistente y de gran capacidad a los entornos empresariales.
«Incidentes como este nos recuerdan que la seguridad de la sujeción de suministro es una responsabilidad compartida: desde los editores que administran sus tokens con cuidado hasta los mantenedores de registros que mejoran las capacidades de detección y respuesta», dijo Peluquero.
