Registro VSX aberto responde a tokens vazados e incidentes de extensões maliciosas

Registro VSX aberto responde a tokens vazados e incidentes de extensões maliciosas

A equipe Open VSX e a Eclipse Foundation resolveram um incidente de segurança significativo envolvendo tokens de autenticação vazados e extensões maliciosas em seu popular mercado de código.

A organização já conteve a situação e delineou medidas concretas para prevenir futuros ataques.

No início deste mês, pesquisadores de segurança da Wiz identificaram vários tokens de desenvolvedor que foram expostos acidentalmente em repositórios públicos.

Esses tokens, que permitem aos desenvolvedores publicar e modificar extensões, pertenciam a contas no Open VSX Registry, um mercado voltado para a comunidade para Extensões de código VS usado por desenvolvedores em todo o mundo.

Após investigação, a equipe do Open VSX confirmou que alguns desses tokens vazados foram de fato comprometidos e usados ​​de forma maliciosa.

No entanto, a organização enfatizou que a exposição resultou de erros do desenvolvedor, e não de qualquer violação da infraestrutura própria do Open VSX. A equipe revogou imediatamente todos os tokens afetados para evitar novos usos indevidos.

Para fortalecer os recursos de detecção no futuro, o Open VSX colaborou com o Security Response Center (MSRC) da Microsoft para introduzir um formato especial de prefixo de token.

Este novo formato torna significativamente mais fácil verificar repositórios públicos e identificar tokens expostos antes que os invasores possam explorá-los.

A campanha de malware

Na mesma época, a empresa de segurança Koi Security relatou um campanha de malware apelidado de “GlassWorm”, que explorou alguns desses tokens expostos para publicar extensões maliciosas.

As extensões foram projetadas para roubar credenciais de desenvolvedores, permitindo que invasores expandissem seu alcance em todo o ecossistema.

Embora os relatórios iniciais descrevessem isso como um “worm de autopropagação”, o Open VSX esclareceu que o malware não se replicava de forma autônoma.

Em vez disso, baseou-se no roubo de credenciais para facilitar novos ataques. A organização também observou que os números de downloads relatados de 35.800 provavelmente exageram o impacto real, pois incluem downloads artificiais gerados por bots e táticas de manipulação usadas pelos atores da ameaça.

A equipe do Open VSX agiu rapidamente, removendo todas as extensões maliciosas conhecidas da plataforma e revogando os tokens associados imediatamente após a notificação.

Em 21 de outubro de 2025, a organização considera o incidente totalmente contido, sem nenhuma evidência de comprometimento contínuo ou conteúdo malicioso remanescente.

Este incidente destacado a importância da segurança da cadeia de abastecimento em ecossistemas de código aberto. A Open VSX está implementando diversas melhorias importantes para fortalecer a segurança da plataforma.

Os períodos de validade dos tokens serão reduzidos por padrão, reduzindo a janela de oportunidade caso os tokens vazem.

A organização também está simplificando os procedimentos de revogação de tokens e adicionando verificação de segurança automatizada no momento da publicação para detectar padrões de códigos maliciosos antes que as extensões cheguem aos usuários.

Além disso, a Open VSX está expandindo a colaboração com outras operadoras de mercado para compartilhar inteligência sobre ameaças e melhores práticas de segurança em todo o ecossistema.

A organização enfatizou que a segurança da cadeia de abastecimento é uma responsabilidade compartilhada entre desenvolvedores, mantenedores de registros e a comunidade em geral.

A Open VSX continua comprometida em manter a transparência e construir um ambiente de código aberto mais resiliente, onde a inovação possa continuar com segurança.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.