Κρίσιμη ευπάθεια στο Open VSX Registry εκθέτει εκατομμύρια προγραμματιστές

Η αποκάλυψη της ευπάθειας και οι συνέπειες

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια κρίσιμη ευπάθεια στο Open VSX Registry (“open-vsx[.]org”), η οποία, αν εκμεταλλευτεί επιτυχώς, θα μπορούσε να επιτρέψει σε επιτιθέμενους να αποκτήσουν τον έλεγχο ολόκληρης της αγοράς επεκτάσεων του Visual Studio Code. Αυτή η ευπάθεια αποτελεί σοβαρό κίνδυνο για την εφοδιαστική αλυσίδα.

Ο ερευνητής της Koi Security, Oren Yomtov, δήλωσε: “Αυτή η ευπάθεια παρέχει στους επιτιθέμενους πλήρη έλεγχο της αγοράς επεκτάσεων και, κατά συνέπεια, πλήρη έλεγχο σε εκατομμύρια μηχανές προγραμματιστών. Εκμεταλλευόμενοι ένα ζήτημα στο CI, ένας κακόβουλος παράγοντας θα μπορούσε να δημοσιεύσει κακόβουλες ενημερώσεις σε κάθε επέκταση στο Open VSX.”

Η διαδικασία αποκατάστασης

Μετά την υπεύθυνη αποκάλυψη της ευπάθειας στις 4 Μαΐου 2025, οι συντηρητές του Open VSX πρότειναν πολλαπλές λύσεις, οι οποίες τελικά εφαρμόστηκαν στις 25 Ιουνίου. Αυτή η διαδικασία δείχνει τη σημασία της υπεύθυνης αποκάλυψης και της συνεργασίας για την αποκατάσταση κρίσιμων ευπαθειών.

Τι είναι το Open VSX Registry

Το Open VSX Registry είναι ένα έργο ανοιχτού κώδικα και αποτελεί εναλλακτική λύση στην αγορά του Visual Studio. Συντηρείται από το Eclipse Foundation και ενσωματώνεται σε διάφορους επεξεργαστές κώδικα όπως το Cursor, το Windsurf, το Google Cloud Shell Editor, το Gitpod και άλλα. Αυτή η ευρεία υιοθέτηση σημαίνει ότι μια παραβίαση του Open VSX αποτελεί εφιάλτη για την εφοδιαστική αλυσίδα.

Ο Yomtov σημείωσε: “Κάθε φορά που εγκαθίσταται μια επέκταση ή γίνεται σιωπηρά ενημέρωση στο παρασκήνιο, αυτές οι ενέργειες περνούν μέσω του Open VSX.”

Η τεχνική ανάλυση της ευπάθειας

Η ευπάθεια που ανακάλυψε η Koi Security εντοπίζεται στο αποθετήριο publish-extensions, το οποίο περιλαμβάνει σενάρια για τη δημοσίευση επεκτάσεων VS Code ανοιχτού κώδικα στο open-vsx.org. Οι προγραμματιστές μπορούν να ζητήσουν την αυτόματη δημοσίευση της επέκτασής τους υποβάλλοντας ένα pull request για να την προσθέσουν στο αρχείο extensions.json του αποθετηρίου, το οποίο στη συνέχεια εγκρίνεται και συγχωνεύεται.

Η λειτουργία της ευπάθειας

Στο παρασκήνιο, αυτό εκτελείται μέσω μιας GitHub Actions ροής εργασίας που εκτελείται καθημερινά στις 03:03 UTC. Η ροή αυτή λαμβάνει ως είσοδο μια λίστα με κόμμα-διαχωρισμένες επεκτάσεις από το αρχείο JSON και τις δημοσιεύει στο μητρώο χρησιμοποιώντας το πακέτο npm vsce. “Αυτή η ροή εργασίας εκτελείται με προνομιακά διαπιστευτήρια, συμπεριλαμβανομένου ενός μυστικού κωδικού (OVSX_PAT) του λογαριασμού υπηρεσίας @open-vsx, που έχει τη δυνατότητα να δημοσιεύει (ή να αντικαθιστά) οποιαδήποτε επέκταση στην αγορά,” δήλωσε ο Yomtov. “Θεωρητικά, μόνο αξιόπιστος κώδικας πρέπει να έχει πρόσβαση σε αυτόν τον κωδικό.”

Η εκμετάλλευση της ευπάθειας

Η ρίζα της ευπάθειας είναι ότι το npm install εκτελεί αυθαίρετα σενάρια κατασκευής όλων των αυτόματα δημοσιευμένων επεκτάσεων και των εξαρτήσεών τους, παρέχοντάς τους πρόσβαση στη μεταβλητή περιβάλλοντος OVSX_PAT. Αυτό σημαίνει ότι είναι δυνατόν να αποκτηθεί πρόσβαση στον κωδικό του λογαριασμού @open-vsx, επιτρέποντας προνομιακή πρόσβαση στο Open VSX Registry και παρέχοντας σε έναν επιτιθέμενο τη δυνατότητα να δημοσιεύει νέες επεκτάσεις και να τροποποιεί υπάρχουσες για την εισαγωγή κακόβουλου κώδικα.

Η σημασία της ασφάλειας στις επεκτάσεις

Ο κίνδυνος που θέτουν οι επεκτάσεις δεν έχει περάσει απαρατήρητος από το MITRE, το οποίο εισήγαγε μια νέα τεχνική “IDE Extensions” στο πλαίσιο ATT&CK τον Απρίλιο του 2025, δηλώνοντας ότι θα μπορούσε να χρησιμοποιηθεί από κακόβουλους παράγοντες για να καθιερώσουν μόνιμη πρόσβαση στα συστήματα των θυμάτων. “Κάθε στοιχείο της αγοράς είναι μια πιθανή πίσω πόρτα,” δήλωσε ο Yomtov. “Αποτελούν μη ελεγμένες εξαρτήσεις λογισμικού με προνομιακή πρόσβαση και αξίζουν την ίδια προσοχή όπως οποιοδήποτε πακέτο από PyPI, npm, Hugging Face ή GitHub. Αν αφεθούν ανεξέλεγκτες, δημιουργούν μια εκτεταμένη, αόρατη εφοδιαστική αλυσίδα που οι επιτιθέμενοι εκμεταλλεύονται όλο και περισσότερο.”