Eclipse refuerza Open VSX tras filtración de tokens en extensiones de VS Code

La Eclipse Foundation, responsable del mantenimiento del proyecto Open VSX, ha anunciado una serie de acciones de seguridad críticas tras detectar la filtración de tokens de acceso dentro de algunas extensiones de Visual Studio Code (VS Code) publicadas en el mercado.

Esta medida responde a un informe de la empresa de seguridad Wiz, que reveló a inicios de mes que varias extensiones tanto del VS Code Marketplace de Microsoft como de Open VSX contenían credenciales expuestas dentro de repositorios públicos. Estos tokens comprometidos podrían haber permitido a actores maliciosos tomar control de las extensiones, distribuir malware o envenenar la cadena de suministro del ecosistema de desarrollo.

Filtración de tokens: un riesgo directo para la cadena de suministro de extensiones

El hallazgo de Wiz expuso un grave riesgo de seguridad dentro del ecosistema de extensiones de Visual Studio Code, una de las plataformas más utilizadas por desarrolladores en todo el mundo.

Al incluir tokens de acceso dentro del código o configuraciones públicas, los desarrolladores —de forma accidental— abrieron la posibilidad de que atacantes externos los aprovecharan para publicar versiones maliciosas de extensiones legítimas, comprometiendo así la integridad del entorno de desarrollo y afectando potencialmente a miles de usuarios.

En un comunicado oficial, Mikaël Barbero, jefe de seguridad de la Eclipse Foundation, explicó:

Citar"Tras una investigación exhaustiva, confirmamos que una pequeña cantidad de tokens había sido filtrada y que estos podrían ser utilizados indebidamente para publicar o modificar extensiones. Las exposiciones fueron causadas por errores de los desarrolladores, no por un compromiso en la infraestructura de Open VSX."

Este incidente no representa un fallo en la seguridad del sistema de Open VSX, sino un problema de gestión de credenciales derivado de malas prácticas de seguridad al desarrollar y publicar extensiones.

Nueva política de tokens y detección preventiva de fugas

En respuesta al incidente, la Eclipse Foundation implementó medidas proactivas para reforzar la seguridad del ecosistema de extensiones. Entre las principales acciones se incluye la revocación inmediata de los tokens expuestos y la introducción de un nuevo formato de prefijo de token "ovsxp_", desarrollado en colaboración con el Microsoft Security Response Center (MSRC).

Este nuevo formato permitirá detectar automáticamente tokens filtrados en repositorios públicos mediante herramientas de escaneo de seguridad, reduciendo drásticamente el tiempo de exposición en caso de nuevas fugas.

Además, Open VSX ha confirmado que está reforzando los mecanismos de seguridad de su registro, incluyendo:

• Reducción del tiempo de vida de los tokens de acceso por defecto, limitando el impacto de una filtración accidental.
• Implementación de procesos automatizados de revocación de tokens tras la detección o notificación de una fuga.
• Escaneo automatizado de extensiones al momento de su publicación para detectar patrones de código malicioso, secretos expuestos o anomalías de comportamiento.

Estas medidas forman parte de una estrategia integral de protección de la cadena de suministro de software, un aspecto cada vez más crítico en el panorama actual de ciberseguridad.

Eliminación de extensiones comprometidas en la campaña "GlassWorm"

En paralelo, la Eclipse Foundation confirmó que eliminó todas las extensiones marcadas recientemente por la firma Koi Security como parte de una campaña maliciosa denominada "GlassWorm".

Si bien el término sugiere la propagación de un gusano autorreplicante, los investigadores aclaran que el malware distribuido no se replicaba automáticamente, sino que dependía del robo de credenciales de desarrolladores legítimos para extender su alcance.

Barbero añadió que el número de descargas asociadas a estas extensiones maliciosas, reportado inicialmente en 35,800, está inflado por bots y tácticas de aumento artificial de visibilidad utilizadas por los actores de amenazas. Por lo tanto, el número real de usuarios afectados sería significativamente menor.

Refuerzo de la seguridad en el ecosistema de desarrollo

El caso GlassWorm y la exposición de tokens en Open VSX y VS Code Marketplace subrayan la vulnerabilidad del ecosistema de desarrollo moderno, donde los repositorios abiertos y la automatización pueden convertirse en vectores de ataque si no se gestionan correctamente las credenciales.

Eclipse Foundation ha reiterado que estos incidentes son un recordatorio clave de que la seguridad de la cadena de suministro es una responsabilidad compartida, que involucra tanto a los editores de extensiones como a los mantenedores de plataformas y a las empresas que integran herramientas de terceros en sus entornos de desarrollo.

Citar"Incidentes como este nos recuerdan que la seguridad de la cadena de suministro es una responsabilidad colectiva: desde los desarrolladores que deben proteger sus tokens, hasta los mantenedores que refuerzan las capacidades de detección y respuesta," concluyó Barbero.

El desafío de proteger el ecosistema de código abierto

El incidente de Open VSX ocurre en un contexto en el que los ataques a la cadena de suministro de software se están multiplicando. Los atacantes aprovechan cada vez más plataformas abiertas, bibliotecas compartidas y dependencias externas para inyectar código malicioso en proyectos legítimos.

Ataques como los de SolarWinds, 3CX o PyPI han demostrado que la confianza en los repositorios de software puede ser explotada como una puerta trasera para acceder a entornos empresariales.

Por ello, tanto Eclipse Foundation como Microsoft están adoptando medidas coordinadas para fortalecer la seguridad de sus ecosistemas de extensiones, priorizando la detección temprana de fugas de credenciales, la validación de código automatizada y la educación de los desarrolladores sobre buenas prácticas de ciberseguridad.

En fin...

El esfuerzo conjunto de Eclipse Foundation y Microsoft para contener la filtración de tokens en Open VSX y VS Code Marketplace representa un paso crucial hacia una cadena de suministro de software más segura.

La introducción del nuevo formato de token "ovsxp_", los mecanismos de revocación automática y el escaneo preventivo de extensiones refuerzan la protección frente a abusos potenciales.

En un momento donde los ataques a la cadena de suministro son cada vez más frecuentes, la transparencia, la colaboración y la responsabilidad compartida se consolidan como los pilares de un ecosistema de desarrollo más resiliente y confiable.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login