Ricercatori di cybersecurity hanno rivelato una vulnerabilità critica nel registro Open VSX (“open-vsx[.]org”) che, se sfruttata con successo, avrebbe potuto permettere agli attaccanti di prendere il controllo dell’intero marketplace delle estensioni di Visual Studio Code, rappresentando un grave rischio per la catena di fornitura.
Un rischio per la catena di fornitura
Questa vulnerabilità offre agli attaccanti il controllo totale sull’intero marketplace delle estensioni e, di conseguenza, il controllo su milioni di macchine degli sviluppatori. Sfruttando un problema di CI, un attore malevolo potrebbe pubblicare aggiornamenti dannosi per ogni estensione su Open VSX.
Dettagli tecnici della vulnerabilità
La vulnerabilità scoperta da Koi Security è radicata nel repository publish-extensions, che include script per pubblicare estensioni open-source di VS Code su open-vsx.org. Gli sviluppatori possono richiedere la pubblicazione automatica della loro estensione inviando una pull request per aggiungerla al file extensions.json presente nel repository, dopo di che viene approvata e unita.
Il processo di pubblicazione
Nel backend, questo si traduce in un flusso di lavoro di GitHub Actions che viene eseguito quotidianamente alle 03:03 a.m. UTC, prendendo come input un elenco di estensioni separate da virgole dal file JSON e pubblicandole nel registro utilizzando il pacchetto npm vsce. Questo flusso di lavoro viene eseguito con credenziali privilegiate, incluso un token segreto (OVSX_PAT) dell’account di servizio @open-vsx che ha il potere di pubblicare (o sovrascrivere) qualsiasi estensione nel marketplace.
Implicazioni della vulnerabilità
Il problema principale della vulnerabilità è che npm install esegue gli script di build arbitrari di tutte le estensioni pubblicate automaticamente e delle loro dipendenze, fornendo loro accesso alla variabile di ambiente OVSX_PAT. Ciò significa che è possibile ottenere l’accesso al token dell’account @open-vsx, consentendo un accesso privilegiato al registro Open VSX e fornendo a un attaccante la capacità di pubblicare nuove estensioni e manomettere quelle esistenti per inserire codice dannoso.
Un incubo per la sicurezza della catena di fornitura
Open VSX Registry è un progetto open-source e un’alternativa al Visual Studio Marketplace, mantenuto dalla Eclipse Foundation. Diversi editor di codice come Cursor, Windsurf, Google Cloud Shell Editor, Gitpod e altri lo integrano nei loro servizi. Questa adozione diffusa significa che un compromesso di Open VSX rappresenta uno scenario da incubo per la catena di fornitura. Ogni volta che un’estensione viene installata o un aggiornamento dell’estensione viene recuperato silenziosamente in background, queste azioni passano attraverso Open VSX.
Riconoscimento del rischio da parte di MITRE
Il rischio posto dalle estensioni non è passato inosservato a MITRE, che ha introdotto una nuova tecnica “IDE Extensions” nel suo framework ATT&CK a partire da aprile 2025, affermando che potrebbe essere sfruttata da attori malevoli per stabilire un accesso persistente ai sistemi delle vittime. Ogni elemento del marketplace è un potenziale backdoor, essendo dipendenze software non verificate con privilegi.
Azioni correttive
Dopo la divulgazione responsabile il 4 maggio 2025, sono stati proposti diversi cicli di correzioni dai manutentori, prima che fosse finalmente implementato il 25 giugno. Questo dimostra l’importanza di una gestione attenta e tempestiva delle vulnerabilità per proteggere l’integrità delle piattaforme di sviluppo e delle catene di fornitura software.
Fonte: The Hackers News
