維護開源專案 Open VSX 的 Eclipse 基金會宣布,已撤銷 Visual Studio Code(VS Code)擴充套件市集中外洩的少量存取權杖(access token)。
雲端資安業者 Wiz 於 10 月發布報告指出,
微軟 VS Code Marketplace 與 Open VSX 中有多個擴充套件不慎將存取權杖曝露在公開儲存庫,可能讓攻擊者取得控制權、散布惡意軟體,進而毒化擴充套件供應鏈。
Eclipse 基金會資安主管 Mikaël Barbero 表示,調查確認有少數權杖外洩,可能被濫用於發布或修改擴充套件。他強調這些曝露源於開發者疏失,並非 Open VSX 基礎設施遭到入侵。
為了更容易掃描公開儲存庫中的外洩權杖,Open VSX 與微軟安全回應中心(MSRC)合作,導入了新的權杖前綴格式「ovsxp_」。
Barbero 進一步說明,所有新發行的存取權杖現在都以「ovsxat_」為前綴,供開發者透過腳本與 CI/CD 流程發布擴充套件。透過縮短權杖有效期限,可確保所有活躍權杖都採用新前綴。他指出,與 MSRC 合作設計的前綴具有足夠辨識度,減少對上下文線索的依賴,進而降低誤判率。這種做法在安全性與實用性之間取得平衡:既強制實施統一前綴,又給予發布者充裕時間輪替權杖。
此外,註冊中心維護團隊已識別並移除所有被 Koi Security 標記為「GlassWorm」攻擊活動的擴充套件。Barbero 強調,該活動散布的惡意軟體並非真正的自我複製蠕蟲(self-replicating worm),因為它必須先竊取開發者憑證才能擴散。他也指出,報告中提及的 35,800 次下載數可能被高估,因為其中包含機器人產生的灌水下載,以及攻擊者用來提升能見度的操作手法。
為強化供應鏈安全,Open VSX 正實施以下措施:
- 預設縮短權杖有效期限,降低意外外洩的影響
- 簡化權杖撤銷流程,加快通報後的處理速度
- 在發布時自動掃描擴充套件,檢查惡意程式碼模式或內嵌的敏感資料
這些強化網路韌性的新措施,反映出軟體供應商生態系統與開發者日益成為攻擊目標。攻擊者可透過此類攻擊取得企業環境的廣泛且持續存取權限。這類事件提醒從發布者謹慎管理權杖,到註冊中心維護者改善偵測與回應能力,供應鏈安全是共同責任。
本文轉載自 TheHackerNews。