Aggiornamenti recenti Settembre 30th, 2025 3:35 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Scoperto ShadowLeak, un attacco che sfrutta un bug zero-click di ChatGPT
- Firewall Cisco sotto attacco: una nuova campagna prende di mira i device ASA
- CERT-AGID 20–26 settembre: phishing, malware e PEC compromesse
- Nuova variante del malware XCSSET prende di mira gli sviluppatori Xcode su macOS
- L’importanza delle coperture assicurative cyber per ridurre i costi degli attacchi informatici
Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
I ricercatori di Koi Security hanno individuato una vulnerabilità critica di Open VSX Registry che consente agli attaccanti di prendere il controllo dei dispositivi di milioni di sviluppatori pubblicando estensioni malevole per VSCode.
Open VSX Registry è un’estensione della Eclipse Foundation usata in VSCode per accedere a un marketplace di estensioni “vendor neutral”, così che gli sviluppatori possono utilizzare estensioni che non siano di Microsoft. “In pratica, Open VSX funziona quasi esattamente come il Marketplace ufficiale di VS Code, ma è aperto a qualsiasi fork di VS Code. Gli sviluppatori possono pubblicare estensioni su Open VSX e gli utenti dei fork di VS Code possono installarle senza problemi” spiega Oren Yomtov di Koi Security.
Considerando che, secondo quanto riportato da Yomtov, sono oltre 8 milioni gli sviluppatori che usano Open VSX, la vulnerabilità dell’estensione ha degli impatti catastrofici e apre ad attacchi supply-chain molto estesi.
Il bug risiede in publish-extensions, ovvero il meccanismo che serve a popolare di estensioni Open VSX. Questo meccanismo consente agli sviluppatori di pubblicare delle estensioni inviando una pull request; una volta approvata, l’estensione viene aggiunta al file extensions.json.
Per far sì che le estensioni siano sempre aggiornate all’ultima versione, esiste un flusso quotidiano che, per ogni estensione del file, controlla se la versione specificata nel file package.json è diversa da quella attuale; in caso positivo, viene eseguito il comando npm install per aggiornare le dipendenze e la nuova versione dell’estensione viene pubblicata. Quest’ultimo step utilizza il valore della variabile d’ambiente OVSX_PAT, ovvero un token relativo a privilegi elevati che consente di pubblicare qualsiasi estensione sul marketplace.
La vulnerabilità sta nel fatto che npm install esegue gli script di build di tutte le estensioni presenti nel marketplace dando loro l’accesso alla variabile OVSX_PAT. I ricercatori di Koi Security hanno dimostrato che è possibile esfiltrare il token e di conseguenza usarlo per pubblicare nuove estensioni o compromettere quelle esistenti con aggiornamenti malevoli.
“Dal punto di vista di un attaccante, ciò significa prendere il controllo della supply chain dell’intero ecosistema. Quando l’IDE di uno sviluppatore fa un aggiornamento automatico delle estensioni (o se l’utente ne installa una nuova), viene scaricato automaticamente il payload malevolo” sottolinea Yomtov. Con questo potere un attaccante può praticamente prendere il controllo del dispositivo della vittima e inserire keylogger o backdoor nei progetti degli sviluppatori, nonché sottrarre codice sorgente e cookie.
Ridurre l’impatto del problema di Open VSX Registry
Poiché le estensioni scaricate dal marketplace possono essere caricate da chiunque, Yomtov ricorda che è essenziale prestare la massima attenzione a ciò che si installa, considerando ogni dipendenza come se fosse non attendibile.
Questo, spiega Yomtov, implica definire un inventario delle estensioni installate, memorizzando non solo cosa è installato, ma anche su quali macchine e da chi è usato. Fondamentale è anche verificare l’origine di ciascuna estensione, controllare se viene manutenuta regolarmente, quali permessi richiede e perché.
Per agire su eventuali comportamenti anomali delle dipendenze di terze parti, è importante definire delle azioni di risposta in caso di violazione delle policy, per esempio rimuovendo automaticamente i plugin sospetti o inviando un alert al team di sicurezza.
Infine, poiché le estensioni vengono spesso aggiornate senza avvisi e in maniera automatica, è obbligatorio controllarle continuamente per non perdersi alcun flusso di aggiornamento.
“Bisognerebbe adottare un modello zero-trust per ogni software proveniente da marketplace, trattando ogni applicazione, estensione, plugin, modello, MCP, pacchetto di codice o container come non attendibile finché non viene individuato, analizzato, approvato e monitorato” conclude Yomtov.
Condividi l'articolo
- attacchi supply chain, estensioni, Open VSX Registry, software terzi, Visual Studio Code, vulnerabilità
In aumento i cyberattacchi dall'Iran: l'allarme delle agenzie di sicurezza americane
Le stampanti multifunzione sono piene di bug! Uno espone la password di admin e Brother fa il record
Articoli correlati
Altro in questa categoria
Approfondimenti
-
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Scoperto ShadowLeak, un attacco che sfrutta un bug... I ricercatori di Radware hanno dettagliato ShadowLeak, un... -
Firewall Cisco sotto attacco: una nuova campagna prende di... Il National Cyber Security Center (NCSC), agenzia di... -
Nuova variante del malware XCSSET prende di mira gli... Microsoft ha lanciato un nuovo allarme su XCSSET, il... -
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi...
-
Attaccanti sfruttano un bug di GeoServer per attaccare... In un recente advisory di sicurezza, la CISA ha reso...
Ransomware: la serie
No posts found.