Open Vsx

Pesquisadores de cibersegurança relataram um ataque à cadeia de suprimentos que afetou o Open VSX Registry, onde atores maliciosos não identificados comprometeram recursos de um desenvolvedor legítimo para distribuir atualizações maliciosas. Em 30 de janeiro de 2026, quatro extensões do Open VSX, publicadas pelo autor oorzc, foram substituídas por versões maliciosas que incorporavam o carregador de malware GlassWorm. Essas extensões, que antes eram consideradas utilitários legítimos e acumulavam mais de 22.000 downloads, agora estão associadas a um malware que visa roubar credenciais do macOS e dados de carteiras de criptomoedas. O ataque envolveu a violação das credenciais de publicação do desenvolvedor, possivelmente através de um token vazado ou acesso não autorizado. As versões maliciosas foram removidas do Open VSX, mas o impacto potencial é significativo, especialmente para ambientes corporativos, pois expõe informações sensíveis de desenvolvedores e pode permitir movimentos laterais em redes corporativas. O malware utiliza técnicas sofisticadas para evitar detecção e é ativado apenas em máquinas que não estão localizadas na Rússia, uma estratégia observada em ataques anteriores relacionados a grupos de ameaças de língua russa.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.

A Eclipse Foundation, responsável pelo projeto Open VSX, anunciou a revogação de alguns tokens que foram acidentalmente expostos em extensões do Visual Studio Code (VS Code) publicadas no marketplace. Essa medida foi tomada após um relatório da empresa de segurança em nuvem Wiz, que identificou que várias extensões, tanto do marketplace da Microsoft quanto do Open VSX, expuseram seus tokens de acesso em repositórios públicos. Mikaël Barbero, chefe de segurança da Eclipse Foundation, afirmou que as exposições foram causadas por erros dos desenvolvedores e não por uma violação da infraestrutura do Open VSX. Para mitigar riscos futuros, a Open VSX implementou um novo formato de prefixo para tokens e está reduzindo os limites de tempo de vida dos tokens por padrão. Além disso, a fundação está automatizando a verificação de extensões no momento da publicação para detectar padrões de código malicioso. O incidente destaca a importância da segurança da cadeia de suprimentos, que é uma responsabilidade compartilhada entre desenvolvedores e mantenedores de registros. O número de downloads reportados de 35.800 pode estar inflacionado devido a bots, segundo Barbero.