Aggiornamenti recenti Novembre 14th, 2025 4:56 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Vulnerabilità di Fortinet FortiWeb sfruttata per creare utenti admin
- Crescono le truffe ai danni dei consumatori, preoccupano quelle basate su IA. Il report di Bitdefender
- Fantasy Hub: scoperto un nuovo RAT Android che prende il controllo totale del dispositivo
- Torna GlassWorm, il primo worm che colpisce le estensioni di VS Code
- Knownsec colpita da un catastrofico breach: esposti oltre 12.000 documenti sensibili
Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
I ricercatori di Koi Security hanno individuato una vulnerabilità critica di Open VSX Registry che consente agli attaccanti di prendere il controllo dei dispositivi di milioni di sviluppatori pubblicando estensioni malevole per VSCode.
Open VSX Registry è un’estensione della Eclipse Foundation usata in VSCode per accedere a un marketplace di estensioni “vendor neutral”, così che gli sviluppatori possono utilizzare estensioni che non siano di Microsoft. “In pratica, Open VSX funziona quasi esattamente come il Marketplace ufficiale di VS Code, ma è aperto a qualsiasi fork di VS Code. Gli sviluppatori possono pubblicare estensioni su Open VSX e gli utenti dei fork di VS Code possono installarle senza problemi” spiega Oren Yomtov di Koi Security.
Considerando che, secondo quanto riportato da Yomtov, sono oltre 8 milioni gli sviluppatori che usano Open VSX, la vulnerabilità dell’estensione ha degli impatti catastrofici e apre ad attacchi supply-chain molto estesi.
Il bug risiede in publish-extensions, ovvero il meccanismo che serve a popolare di estensioni Open VSX. Questo meccanismo consente agli sviluppatori di pubblicare delle estensioni inviando una pull request; una volta approvata, l’estensione viene aggiunta al file extensions.json.
Per far sì che le estensioni siano sempre aggiornate all’ultima versione, esiste un flusso quotidiano che, per ogni estensione del file, controlla se la versione specificata nel file package.json è diversa da quella attuale; in caso positivo, viene eseguito il comando npm install per aggiornare le dipendenze e la nuova versione dell’estensione viene pubblicata. Quest’ultimo step utilizza il valore della variabile d’ambiente OVSX_PAT, ovvero un token relativo a privilegi elevati che consente di pubblicare qualsiasi estensione sul marketplace.
La vulnerabilità sta nel fatto che npm install esegue gli script di build di tutte le estensioni presenti nel marketplace dando loro l’accesso alla variabile OVSX_PAT. I ricercatori di Koi Security hanno dimostrato che è possibile esfiltrare il token e di conseguenza usarlo per pubblicare nuove estensioni o compromettere quelle esistenti con aggiornamenti malevoli.
“Dal punto di vista di un attaccante, ciò significa prendere il controllo della supply chain dell’intero ecosistema. Quando l’IDE di uno sviluppatore fa un aggiornamento automatico delle estensioni (o se l’utente ne installa una nuova), viene scaricato automaticamente il payload malevolo” sottolinea Yomtov. Con questo potere un attaccante può praticamente prendere il controllo del dispositivo della vittima e inserire keylogger o backdoor nei progetti degli sviluppatori, nonché sottrarre codice sorgente e cookie.
Ridurre l’impatto del problema di Open VSX Registry
Poiché le estensioni scaricate dal marketplace possono essere caricate da chiunque, Yomtov ricorda che è essenziale prestare la massima attenzione a ciò che si installa, considerando ogni dipendenza come se fosse non attendibile.
Questo, spiega Yomtov, implica definire un inventario delle estensioni installate, memorizzando non solo cosa è installato, ma anche su quali macchine e da chi è usato. Fondamentale è anche verificare l’origine di ciascuna estensione, controllare se viene manutenuta regolarmente, quali permessi richiede e perché.
Per agire su eventuali comportamenti anomali delle dipendenze di terze parti, è importante definire delle azioni di risposta in caso di violazione delle policy, per esempio rimuovendo automaticamente i plugin sospetti o inviando un alert al team di sicurezza.
Infine, poiché le estensioni vengono spesso aggiornate senza avvisi e in maniera automatica, è obbligatorio controllarle continuamente per non perdersi alcun flusso di aggiornamento.
“Bisognerebbe adottare un modello zero-trust per ogni software proveniente da marketplace, trattando ogni applicazione, estensione, plugin, modello, MCP, pacchetto di codice o container come non attendibile finché non viene individuato, analizzato, approvato e monitorato” conclude Yomtov.
Condividi l'articolo
- attacchi supply chain, estensioni, Open VSX Registry, software terzi, Visual Studio Code, vulnerabilità
In aumento i cyberattacchi dall'Iran: l'allarme delle agenzie di sicurezza americane
Le stampanti multifunzione sono piene di bug! Uno espone la password di admin e Brother fa il record
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Crescono le truffe ai danni dei consumatori, preoccupano... I consumatori continuano a essere colpiti molto duramente... -
In aumento gli attacchi russi e lo spionaggio contro... Nell’ultimo APT Activity Report relativo al periodo... -
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove... -
In aumento gli attacchi alle applicazioni pubbliche, calano... Stando all’ultimo report sulle minacce di Cisco... -
Il 25% dei leader aziendali italiani non comprende... Il nuovo report di Kaspersky, “Real talk on...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Vulnerabilità di Fortinet FortiWeb sfruttata per creare... Una presunta vulnerabilità di Fortinet FortiWeb sta... -
Crescono le truffe ai danni dei consumatori, preoccupano... I consumatori continuano a essere colpiti molto duramente...
-
Fantasy Hub: scoperto un nuovo RAT Android che prende il... I ricercatori di zImperium zLabs hanno individuato Fantasy... -
Torna GlassWorm, il primo worm che colpisce le estensioni... I ricercatori di Koi Security hanno segnalato il ritorno... -
Knownsec colpita da un catastrofico breach: esposti oltre... Knownsec, compagnia di cybersicurezza legata al governo...
Ransomware: la serie
No posts found.