Registro Open VSX corrige falha de segurança após vazamento de tokens
O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.