Eclipse Foundation, đơn vị duy trì dự án mã nguồn mở Open VSX, cho biết họ đã thực hiện các bước để thu hồi một số lượng nhỏ token bị rò rỉ trong các tiện ích mở rộng của Visual Studio Code (VS Code) được phát hành trên marketplace.
Hành động này diễn ra sau một báo cáo từ công ty bảo mật đám mây Wiz vào đầu tháng này, trong đó phát hiện một số tiện ích mở rộng từ cả VS Code Marketplace của Microsoft và Open VSX đã vô tình để lộ access tokens của chúng trong các kho lưu trữ công khai, có khả năng cho phép các tác nhân xấu chiếm quyền kiểm soát và phát tán malware, làm ô nhiễm chuỗi cung ứng tiện ích mở rộng.
"Khi điều tra, chúng tôi xác nhận rằng một số lượng nhỏ token đã bị rò rỉ và có khả năng bị lạm dụng để phát hành hoặc sửa đổi các tiện ích mở rộng," Mikaël Barbero, trưởng bộ phận an ninh tại Eclipse Foundation, cho biết trong một tuyên bố. "Những sự cố lộ lọt này là do lỗi của nhà phát triển, chứ không phải do hạ tầng Open VSX bị xâm nhập."
Open VSX cũng cho biết họ đã giới thiệu định dạng tiền tố token "ovsxp_" với sự hợp tác của Microsoft Security Response Center (MSRC) để dễ dàng quét các token bị lộ trong các kho lưu trữ công khai hơn.
Hơn nữa, các nhà duy trì registry cho biết họ đã xác định và gỡ bỏ tất cả các tiện ích mở rộng gần đây bị Koi Security gắn cờ là một phần của chiến dịch có tên "GlassWorm," đồng thời nhấn mạnh rằng malware được phân phối thông qua hoạt động này không phải là một "self-replicating worm" vì nó cần phải đánh cắp developer credentials trước để mở rộng phạm vi tấn công.
"Chúng tôi cũng tin rằng số lượt tải xuống được báo cáo là 35.800 đã phóng đại số lượng người dùng thực sự bị ảnh hưởng, vì nó bao gồm các lượt tải xuống tăng lên do bots và các chiến thuật tăng cường khả năng hiển thị được sử dụng bởi các threat actors," Barbero nói thêm.
Open VSX cho biết họ cũng đang trong quá trình thực thi một số thay đổi bảo mật để củng cố chuỗi cung ứng, bao gồm:
- Giảm thời gian hiệu lực của token theo mặc định để giảm thiểu tác động của việc rò rỉ ngẫu nhiên.
- Giúp việc thu hồi token dễ dàng hơn khi có thông báo.
- Quét tự động các tiện ích mở rộng tại thời điểm phát hành để kiểm tra các mẫu mã độc hại hoặc các secrets nhúng.
Các biện pháp mới nhằm tăng cường khả năng phục hồi an ninh mạng của hệ sinh thái được đưa ra khi hệ sinh thái nhà cung cấp phần mềm và các nhà phát triển ngày càng trở thành mục tiêu của các cuộc tấn công, cho phép kẻ tấn công truy cập sâu rộng, dai dẳng vào các môi trường doanh nghiệp.
"Các sự cố như thế này nhắc nhở chúng ta rằng supply chain security là một trách nhiệm chung: từ các nhà xuất bản quản lý token của họ cẩn thận, đến các nhà duy trì registry cải thiện khả năng phát hiện và phản ứng," Barbero nói.
