Eclipse Foundation, đơn vị duy trì Open VSX Registry, đã công bố kế hoạch thực thi các biện pháp kiểm tra bảo mật trước khi các tiện ích mở rộng của Microsoft Visual Studio Code (VS Code) được xuất bản lên kho lưu trữ mã nguồn mở để chống lại các mối đe dọa chuỗi cung ứng (supply chain threats).
Động thái này đánh dấu sự chuyển đổi từ cách tiếp cận phản ứng sang chủ động nhằm đảm bảo rằng các tiện ích mở rộng độc hại không bị xuất bản trên Open VSX Registry.
"Cho đến nay, Open VSX Registry chủ yếu dựa vào việc phản hồi và điều tra sau khi xuất bản. Khi một tiện ích mở rộng xấu được báo cáo, chúng tôi sẽ điều tra và gỡ bỏ nó," Christopher Guindon, giám đốc phát triển phần mềm tại Eclipse Foundation, cho biết.
"Mặc dù cách tiếp cận này vẫn phù hợp và cần thiết, nhưng nó không thể mở rộng khi khối lượng xuất bản tăng lên và các mô hình mối đe dọa (threat models) phát triển."
Thay đổi này diễn ra trong bối cảnh các kho lưu trữ gói mã nguồn mở (open-source package registries) và thị trường tiện ích mở rộng (extension marketplaces) ngày càng trở thành nam châm thu hút tấn công, cho phép các tác nhân độc hại (bad actors) nhắm mục tiêu vào các nhà phát triển trên quy mô lớn thông qua nhiều phương pháp khác nhau như mạo danh không gian tên (namespace impersonation) và typosquatting. Mới tuần trước, Socket đã báo cáo một sự cố trong đó tài khoản của một nhà xuất bản bị xâm phạm đã được sử dụng để đẩy các bản cập nhật độc hại.
Bằng cách triển khai các kiểm tra trước khi xuất bản (pre-publish checks), mục tiêu là để giới hạn thời gian phơi nhiễm và gắn cờ các kịch bản sau, cũng như cách ly các bản tải lên đáng ngờ để xem xét thay vì xuất bản ngay lập tức -
- Các trường hợp rõ ràng về mạo danh tên tiện ích mở rộng hoặc không gian tên (namespace impersonation)
- Tiết lộ nhầm thông tin đăng nhập (credentials) hoặc bí mật (secrets)
- Các mẫu độc hại đã biết (known malicious patterns)
Điều đáng chú ý là Microsoft đã có một quy trình kiểm duyệt nhiều bước (multi-step vetting process) tương tự cho Visual Studio Marketplace của mình. Quy trình này bao gồm quét các gói đến để tìm phần mềm độc hại (malware), sau đó quét lại mọi gói mới được xuất bản "ngay sau đó" và quét lại hàng loạt định kỳ tất cả các gói.
Chương trình xác minh tiện ích mở rộng dự kiến sẽ được triển khai theo từng giai đoạn, với những người duy trì sử dụng tháng 2 năm 2026 để giám sát các tiện ích mở rộng mới được xuất bản mà không chặn xuất bản để tinh chỉnh hệ thống, giảm các trường hợp dương tính giả (false positives) và cải thiện phản hồi. Việc thực thi sẽ bắt đầu vào tháng tới.
"Mục tiêu và ý định là nâng cao nền tảng bảo mật (security floor), giúp các nhà xuất bản phát hiện sớm các vấn đề và giữ cho trải nghiệm có thể dự đoán được và công bằng cho các nhà xuất bản có thiện chí," Guindon cho biết.
"Các kiểm tra trước khi xuất bản (pre-publish checks) làm giảm khả năng các tiện ích mở rộng rõ ràng độc hại hoặc không an toàn lọt vào hệ sinh thái, điều này làm tăng niềm tin vào Open VSX Registry như một cơ sở hạ tầng chung (shared infrastructure)."
