Rejtett támadás és gyors válasz
Az Open VSX – az Eclipse Foundation nyílt forráskódú alternatívája a Visual Studio Marketplace-szel szemben – olyan közösségi regiszter, ahol főként MI-alapú, a Microsoft platformját megkerülő VS Code-bővítmények találhatók. A kiszivárgott tokenek közül többet is kihasználva, néhány nap múlva a GlassWorm néven ismert kártevőterjesztő csoport láthatatlan Unicode karakterekbe rejtett rosszindulatú kódot juttatott el bővítményeken keresztül, fejlesztői hozzáférések megszerzésére és további támadások indítására törekedve.
Kriptovaluta és végül tűzoltás
A támadások fő célpontjai kriptotárcák adatai voltak, 49 különböző bővítményt érintve, vagyis egyértelműen anyagi haszon volt a motiváció. Az Eclipse Foundation ugyanakkor pontosított: a GlassWorm nem volt önreplikáló, és a letöltési számok nagy része hamis letöltéseknek, illetve robotok tevékenységének volt köszönhető, ezért nőtt meg 15 ezerről közel 36 ezerre.
Új biztonsági lépések – de a veszély él tovább
A támadást gyorsan sikerült lokalizálni, október 21-ig minden rosszindulatú bővítményt töröltek, a veszélyes tokeneket lecserélték vagy érvénytelenítették. Az Open VSX további lépéseket is bevezet: rövidülnek a tokenek érvényességi idejei, gyorsabb lesz a kompromittált kulcsok visszavonása, automatizált biztonsági vizsgálatok futnak, és az információmegosztás is javul.
A GlassWorm-csoport azonban már a GitHubra költözött, ahol továbbra is Unicode-szteganográfiával rejtik el a kártevőket JavaScript-projektek százainál, így a fenyegetés nem múlt el, csak más nyílt forráskódú platformokra vándorolt.
