Aggiornamenti recenti Marzo 31st, 2026 3:30 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Vibecoding: l’AI accelera lo sviluppo ma moltiplica i rischi
- Google: crittografia post-quantum entro il 2029
- Magento sotto attacco: PolyShell, sfruttamento di massa in pochi giorni
- API sotto attacco: la sicurezza dell’AI passa dall’infrastruttura applicativa
- AWS Bedrock: otto vettori che trasformano l’AI in un punto d’ingresso
Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
I ricercatori di Koi Security hanno individuato una vulnerabilità critica di Open VSX Registry che consente agli attaccanti di prendere il controllo dei dispositivi di milioni di sviluppatori pubblicando estensioni malevole per VSCode.
Open VSX Registry è un’estensione della Eclipse Foundation usata in VSCode per accedere a un marketplace di estensioni “vendor neutral”, così che gli sviluppatori possono utilizzare estensioni che non siano di Microsoft. “In pratica, Open VSX funziona quasi esattamente come il Marketplace ufficiale di VS Code, ma è aperto a qualsiasi fork di VS Code. Gli sviluppatori possono pubblicare estensioni su Open VSX e gli utenti dei fork di VS Code possono installarle senza problemi” spiega Oren Yomtov di Koi Security.
Considerando che, secondo quanto riportato da Yomtov, sono oltre 8 milioni gli sviluppatori che usano Open VSX, la vulnerabilità dell’estensione ha degli impatti catastrofici e apre ad attacchi supply-chain molto estesi.
Il bug risiede in publish-extensions, ovvero il meccanismo che serve a popolare di estensioni Open VSX. Questo meccanismo consente agli sviluppatori di pubblicare delle estensioni inviando una pull request; una volta approvata, l’estensione viene aggiunta al file extensions.json.
Per far sì che le estensioni siano sempre aggiornate all’ultima versione, esiste un flusso quotidiano che, per ogni estensione del file, controlla se la versione specificata nel file package.json è diversa da quella attuale; in caso positivo, viene eseguito il comando npm install per aggiornare le dipendenze e la nuova versione dell’estensione viene pubblicata. Quest’ultimo step utilizza il valore della variabile d’ambiente OVSX_PAT, ovvero un token relativo a privilegi elevati che consente di pubblicare qualsiasi estensione sul marketplace.
La vulnerabilità sta nel fatto che npm install esegue gli script di build di tutte le estensioni presenti nel marketplace dando loro l’accesso alla variabile OVSX_PAT. I ricercatori di Koi Security hanno dimostrato che è possibile esfiltrare il token e di conseguenza usarlo per pubblicare nuove estensioni o compromettere quelle esistenti con aggiornamenti malevoli.
“Dal punto di vista di un attaccante, ciò significa prendere il controllo della supply chain dell’intero ecosistema. Quando l’IDE di uno sviluppatore fa un aggiornamento automatico delle estensioni (o se l’utente ne installa una nuova), viene scaricato automaticamente il payload malevolo” sottolinea Yomtov. Con questo potere un attaccante può praticamente prendere il controllo del dispositivo della vittima e inserire keylogger o backdoor nei progetti degli sviluppatori, nonché sottrarre codice sorgente e cookie.
Ridurre l’impatto del problema di Open VSX Registry
Poiché le estensioni scaricate dal marketplace possono essere caricate da chiunque, Yomtov ricorda che è essenziale prestare la massima attenzione a ciò che si installa, considerando ogni dipendenza come se fosse non attendibile.
Questo, spiega Yomtov, implica definire un inventario delle estensioni installate, memorizzando non solo cosa è installato, ma anche su quali macchine e da chi è usato. Fondamentale è anche verificare l’origine di ciascuna estensione, controllare se viene manutenuta regolarmente, quali permessi richiede e perché.
Per agire su eventuali comportamenti anomali delle dipendenze di terze parti, è importante definire delle azioni di risposta in caso di violazione delle policy, per esempio rimuovendo automaticamente i plugin sospetti o inviando un alert al team di sicurezza.
Infine, poiché le estensioni vengono spesso aggiornate senza avvisi e in maniera automatica, è obbligatorio controllarle continuamente per non perdersi alcun flusso di aggiornamento.
“Bisognerebbe adottare un modello zero-trust per ogni software proveniente da marketplace, trattando ogni applicazione, estensione, plugin, modello, MCP, pacchetto di codice o container come non attendibile finché non viene individuato, analizzato, approvato e monitorato” conclude Yomtov.
Condividi l'articolo
- attacchi supply chain, estensioni, Open VSX Registry, software terzi, Visual Studio Code, vulnerabilità
In aumento i cyberattacchi dall'Iran: l'allarme delle agenzie di sicurezza americane
Le stampanti multifunzione sono piene di bug! Uno espone la password di admin e Brother fa il record
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza... -
La cybersecurity OT in Italia tra maturità limitata e... Secondo un’analisi condotta da HWG Sababa e presentata... -
DarkSword: exploit chain iOS tra zero-day, spyware e... Google Threat Intelligence Group, un’unità... -
CrackArmor, nove falle in AppArmor aprono la strada al root... Secondo una ricerca di Qualys, il pacchetto di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di...
-
Google: crittografia post-quantum entro il 2029 Google ha annunciato sul proprio blog l’obiettivo di... -
Magento sotto attacco: PolyShell, sfruttamento di massa in... La vulnerabilità “PolyShell” in Magento Open Source e... -
API sotto attacco: la sicurezza dell’AI passa... Akamai ha appena rilasciato il suo report “2026 Apps,... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza...
Ransomware: la serie
No posts found.