Seorang peneliti keamanan dari Keamanan Koi Tersandung pada hari nol kritis terkubur jauh di dalam infrastruktur yang mendukung alat pengkodean AI saat ini. Seandainya itu dieksploitasi, penyerang yang tidak canggih dapat membajak lebih dari 10 juta mesin dengan satu stroke.
Asisten pengkodean AI seperti Cursor dan Windsurf telah meledak dalam popularitas, menjanjikan produktivitas supercharged bagi pengembang di seluruh dunia. Di belakang antarmuka mereka yang ramping terletak sebuah fondasi bersama: garpu kode vs yang dibangun komunitas dan pasar terbuka ekstensi yang mendukung keajaiban. Tapi, dengan gelombang baru perkakas pengembang ini muncul titik buta yang berbahaya.
Dijuluki Vsxploit: Satu cacat yang diabaikan di OpenVSX – komponen penting dalam rantai pasokan pengembang – diizinkan kompromi sistem lengkap, sistem lengkap pada mesin apa pun yang menjalankan garpu VS Code. Satu bug. Kontrol total.
Mari selami.
Editor bertenaga AI hari ini sangat bergantung pada ekstensi untuk memberikan fungsionalitas paling dasar mereka. Fitur seperti sintaksis sintaks, berbaris, dan debugging tidak hardcoded ke editor – mereka disediakan oleh ekstensi.
Masing -masing ekstensi ini berjalan dengan hak istimewa penuh pada mesin pengembang. Ini pada gilirannya berarti bahwa ekstensi tunggal yang dikompromikan dapat menyebabkan pengambilalihan mesin penuh siapa pun yang menginstalnya.
Skenario mimpi buruk yang tepat ini adalah dari mana peneliti keamanan Oren Yomtov Keamanan Koisebuah perusahaan yang menyediakan platform untuk mengamankan penyediaan dan ekstensi perangkat lunak, tersandung.
Dalam posting baru -baru ini Yomtov menjelaskan bahwa saat memeriksa proses pembangunan di belakang OpenVSX, ekstensi daya open-source yang menyumbangkan ekstensi untuk alat-alat seperti kursor, windsurf, vscodium, dan lainnya, ia menemukan cacat kritis.
Kerentanan memungkinkan penyerang, tidak hanya untuk mendapatkan kendali atas satu ekstensi, tetapi rantai pasokan Armageddon, mendapatkan kendali penuh atas seluruh pasar.
Mengingat cacat ini, penyerang mana pun dapat mendorong pembaruan berbahaya di bawah akun @open-vsx tepercaya. Pada awalnya, Yomtov menganggap itu harus menjadi kesalahan, kode ini telah berjalan selama bertahun -tahun, digunakan oleh puluhan juta. Tetapi ketika dia menciptakan kembali serangan di labnya, simulasi itu bekerja dengan sempurna.
Apa yang tampaknya tidak terpikirkan tiba-tiba sangat nyata: bencana keamanan skala penuh yang sunyi adalah duduk di depan mata.
Kerentanan: Variasi pada “Permintaan PWN” klasik
Untuk memahami bagaimana kerentanan bekerja, Anda pertama -tama perlu memahami bagaimana ekstensi membuat jalan mereka ke OpenVSX di tempat pertama.
Jika Anda ingin mempublikasikan ekstensi untuk membuka VSX, Anda memiliki dua opsi:
-
Unggah untuk membuka VSX sendiri
-
Minta ekstensi untuk diterbitkan secara otomatis dengan membuat permintaan tarik yang menambahkan ekstensi ke daftar di file extensions.json
“Bangunan malam adalah tempat masalahnya,” kata Yomtov.
Setiap malam, OpenVSX menjalankan proses otomatis yang mengambil versi terbaru dari ekstensi yang diterapkan oleh komunitas, membangunnya, dan menerbitkannya ke pasar. Ini dimaksudkan untuk membuat hidup lebih mudah bagi pengembang, tetapi dalam hal ini, ia memperkenalkan cacat kritis.
Untuk mendapatkan ekstensi yang diterbitkan secara otomatis, yang harus dilakukan pengembang hanyalah mengirimkan permintaan tarikan sederhana yang menambahkannya ke daftar publik. Dari sana, OpenVSX mengambil alih: ia menarik kode, menginstal dependensi, membangun ekstensi, dan menerbitkannya menggunakan token rahasia yang kuat milik akun @open-vsx tepercaya.
Token ini dimaksudkan untuk tetap tersembunyi, hanya dilihat oleh infrastruktur tepercaya. Sayangnya, karena bagaimana proses pembangunan menjalankan kode sewenang -wenang dari repositori publik, penulis ekstensi mana pun dapat membuat pembaruan berbahaya itu diam -diam menangkap token.
Yang lebih mengkhawatirkan adalah bahwa mereka tidak perlu mengirimkan ekstensi jahat secara langsung. Mereka bisa menyembunyikan kode mereka di dalam ketergantungan, atau bahkan ketergantungan ketergantungan, dan sistem akan mengeksekusi secara otomatis selama pembangunan malam. Dari sana, mencuri token itu sepele.
Dan dengan token di tangan, penyerang tidak akan hanya mengendalikan ekstensi mereka sendiri. Mereka dapat menerbitkan pembaruan, menimpa yang sudah ada, dan diam -diam membajak seluruh pasar.
Dampaknya: mimpi buruk rantai pasokan yang mengekspos jutaan pengembang
Dengan akses ke token akun @Open-VSX, seorang penyerang bisa menciptakan mimpi buruk rantai pasokan di seluruh dunia. “Token itu adalah kredensial super-admin,” jelas Yomtov. “Ini dapat menerbitkan ekstensi baru, menimpa yang sudah ada, dan menyamar sebagai penerbit mana pun di ekosistem.”
Sejak saat itu, kerusakan menjadi hampir tanpa usaha. Setiap kali pengembang memasang ekstensi atau editor mereka memperbarui satu di latar belakang, yang terus terjadi, muatan penyerang akan secara diam-diam dikirim ke mesin mereka. Tidak ada peringatan. Tidak ada petunjuk. Tidak ada kecurigaan. Pengambilalihan penuh.
Dan apa yang bisa dilakukan muatan itu? “Cukup banyak,” kata Yomtov. Ekstensi dalam kode VS dan garpu berjalan sebagai proses node.js, yang berarti mereka dapat mengakses file, meluncurkan program lain, membuat permintaan jaringan, dan menjalankan kode sewenang -wenang.
Pembaruan berbahaya untuk ekstensi populer, katakanlah, plugin Python, dapat dengan diam -diam menginstal keylogger, mencuri cookie browser, gesek kode sumber, infeksi build, atau seluruh pipa pengembangan backdoor.
Ada kasus -kasus terisolasi ekstensi nakal vs kode mencuri kunci SSH atau dompet kripto. Tapi ini tidak akan menjadi salah satu aktor buruk yang menyelinap melalui celah. Ini akan menjadi pengambilalihan skala penuh, kompromi rantai pasokan pada skala ekosistem. Seperti SolarWinds, tetapi untuk alat pengembang.
Sementara dampaknya akan paling parah bagi editor desktop seperti Cursor, Windsurf, dan Vscodium, bahkan lingkungan berbasis browser seperti GitPod atau Stackblitz dapat terpengaruh, tergantung pada seberapa terintegrasi ekstensi yang dikompromikan.
Jadi apa yang dapat Anda lakukan?
Kami bertanya kepada Yomtov apa yang harus diambil pengguna dan organisasi dari kejadian ini. Jawabannya tumpul: “Asumsikan setiap ekstensi tidak dipercaya sampai terbukti sebaliknya.”
Ekstensi mungkin terasa seperti add-ons yang tidak berbahaya, tetapi di bawah kap, mereka komponen perangkat lunak yang kuat, sering ditulis oleh individu, berjalan dengan izin penuh, dan secara otomatis diperbarui tanpa pengawasan.
“Ini tidak berbeda dengan menarik paket dari NPM atau PYPI, dan umumnya bahkan lebih buruk,” kata Yomtov. “Jika Anda tidak akan secara membabi buta mempercayai repo GitHub dengan akses root ke mesin Anda, Anda juga tidak boleh mempercayai suatu ekstensi.”
Untuk melindungi diri kita sendiri, Yomtov merekomendasikan organisasi memperlakukan ekstensi sebagai bagian dari permukaan serangan mereka dan menerapkan disiplin yang sama yang mereka gunakan untuk ketergantungan lainnya. Itu artinya:
-
Mempertahankan inventaris nyata dari apa yang diinstal, di atas mesin mana, dan oleh siapa
-
Menilai risiko berdasarkan siapa yang membangun ekstensi, bagaimana itu dipertahankan, dan apa yang sebenarnya dilakukannya
-
Menegakkan kebijakan yang jelas di sekitar apa yang diizinkan, dan mengambil tindakan ketika sesuatu melayang keluar dari batas
-
Pemantauan terus meneruskarena ekstensi dapat memperbarui secara diam -diam dan memperkenalkan risiko baru dalam semalam
Tim peneliti Koi terus berlanjut Temukan ekstensi yang rentan dan berbahaya – Tidak hanya di OpenVSX, atau Microsoft’s Marketplace, bahkan di pasar ekstensi lainnya seperti Chrome Web Store.
“Ekosistem telah tumbuh lebih cepat dari pagar pembatas,” kata Yomtov. “Sampai itu berubah, asumsi teraman adalah nol kepercayaan. Setiap ekstensi adalah backdoor potensial kecuali Anda telah meninjau dan menontonnya.”
Yomtov dan tim di Keamanan Koi secara bertanggung jawab mengungkapkan kerentanan ke Eclipse Foundation, yang mempertahankan proyek OpenVSX. Selama minggu -minggu berikutnya, mereka bekerja erat dengan pengelola untuk memvalidasi masalah, merancang perbaikan yang kuat, dan memastikan tambalan diimplementasikan dan digunakan dengan benar.
Berkat kolaborasi ini, kerentanan telah ditutup dan pasar sekali lagi aman bagi jutaan pengembang yang mengandalkannya setiap hari.
Tetapi kejadian itu berfungsi sebagai panggilan bangun – bahkan infrastruktur tepercaya membutuhkan pengawasan yang konstan, terutama ketika memegang kunci ke seluruh ekosistem pembangunan.
Pelajari bagaimana KOI membantu organisasi menemukan, menilai, dan mengatur ekstensi berisiko di seluruh vscode, openvsx, chrome, dan pasar lainnya
Disponsori dan ditulis oleh Keamanan Koi.
