🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora a notícia mais quente do momento e fique sempre um passo à frente!
Apoie o projeto e divulgue suas redes! Clique aqui
Um pesquisador de segurança da Koi Security tropeçou em um dia crítico de zero, enterrado no fundo da infraestrutura que alimenta as ferramentas de codificação de IA de hoje. Se tivesse sido explorado, um atacante não sofisticado poderia sequestrar mais de 10 milhões de máquinas com um único golpe.
Assistentes de codificação de IA, como Cursor e Windsurf, explodiram em popularidade, prometendo produtividade sobrecarregada para desenvolvedores em todo o mundo. Por trás de suas elegantes interfaces, encontra-se uma base compartilhada: garfos de código VS construídos na comunidade e um mercado aberto de extensões que alimenta a magia. Mas, com essa nova onda de ferramentas de desenvolvedor, vem um ponto cego perigoso.
Apelidado de VSXPLOIT: uma única falha esquecida no OpenVSX - um componente crítico na cadeia de suprimentos do desenvolvedor - permitiu um compromisso silencioso e de sistema completo em qualquer máquina que executa um vs vs. Um bug. Controle total.
Vamos mergulhar.
Os editores movidos a IA de hoje dependem fortemente de extensões para oferecer sua funcionalidade mais básica. Recursos como destaques de sintaxe, linha e depuração não são codificados no editor - eles são fornecidos por extensões.
Cada uma dessas extensões é executada com privilégios completos na máquina do desenvolvedor. Por sua vez, isso significa que uma única extensão comprometida pode levar à aquisição completa da máquina de qualquer pessoa que o instale.
Esse cenário exato de pesadelo é o que o pesquisador de segurança Oren Yomtov, da Koi Security, uma empresa que fornece uma plataforma para proteger o provisionamento e extensões de software, tropeçou.
Em um recente post Yomtov explica que, ao examinar o processo de construção por trás do OpenVSX, o mercado de código aberto Extensões de alimentação para ferramentas como cursor, windsurf, vscodium e outros, ele descobriu uma falha crítica.
A vulnerabilidade permitiu que qualquer invasor, não apenas ganhasse controle sobre uma única extensão, mas uma cadeia de suprimentos Armageddon, ganhando controle total sobre todo o mercado.
Dada essa falha, qualquer invasor pode impulsionar atualizações maliciosas na conta confiável @open-vsx. A princípio, Yomtov assumiu que tinha que ser um erro, esse código estava em execução há anos, usado por dezenas de milhões. Mas quando ele recriou o ataque em seu laboratório, a simulação funcionou perfeitamente.
O que parecia impensável foi de repente muito real: um desastre de segurança silencioso e em larga escala estava sentado à vista.
Proteja seu ambiente de desenvolvimento de ameaças de extensão oculta
Saiba como o KOI ajuda as organizações a descobrir, avaliar e governar extensões de risco em vscode, OpenVSX, Chrome e outros mercados.
Ganhe total visibilidade e proteja sua cadeia de suprimentos de desenvolvimento.
Solicite uma demonstração
A vulnerabilidade: uma variação no clássico “PWN Pedido”
Para entender como a vulnerabilidade funcionou, você primeiro precisa entender como as extensões chegam ao OpenVSX em primeiro lugar.
Se você deseja publicar uma extensão para abrir o VSX, você tem duas opções:
Envie -o para abrir o VSX você mesmo
Solicite uma extensão a ser publicada automaticamente, criando uma solicitação de tração que adiciona a extensão à lista no arquivo Extensions.json
"A construção noturna é onde está o problema", diz Yomtov.
Todas as noites, o OpenVSX executa um processo automatizado que busca as mais recentes versões de extensões submitidas da comunidade, as constrói e as publica no mercado. Destina -se para facilitar a vida para os desenvolvedores, mas, neste caso, introduziu uma falha crítica.
Para obter uma extensão publicada automaticamente, tudo o que um desenvolvedor precisa fazer é enviar uma solicitação de tração simples, adicionando-a a uma lista pública. A partir daí, o OpenVSX assume o controle: ele puxa o código, instala as dependências, cria a extensão e o publica usando um token secreto poderoso que pertence à conta confiável @open-vsx.
Esse token deveria ficar oculto, visto apenas pela infraestrutura confiável. Infelizmente, devido à maneira como o processo de compilação executa o código arbitrário de repositórios públicos, qualquer autor de extensão pode criar uma atualização maliciosa que captura silenciosamente o token.
O que é ainda mais alarmante é que eles não precisariam enviar uma extensão maliciosa diretamente. Eles poderiam ter escondido seu código dentro de uma dependência, ou mesmo uma dependência de dependência, e o sistema o teria executado automaticamente durante a construção noturna. A partir daí, roubar o token era trivial.
E com esse token na mão, um atacante não controlava apenas sua própria extensão. Eles poderiam publicar atualizações, substituir as existentes e sequestrar silenciosamente todo o mercado.
O impacto: um pesadelo da cadeia de suprimentos que expôs milhões de desenvolvedores
Com o acesso ao token da conta @Open-VSX, um invasor poderia ter criado um pesadelo da cadeia de suprimentos mundial. "Esse token é uma credencial super-administrada", explica Yomtov. "Ele pode publicar novas extensões, substituir as existentes e representar qualquer editora do ecossistema".
A partir daí, o dano se torna quase sem esforço. Toda vez que um desenvolvedor instala uma extensão ou seu editor de atualização automática em segundo plano, o que acontece continuamente, a carga útil do invasor seria entregue silenciosamente à sua máquina. Sem alertas. Sem prompts. Sem suspeita. Aquisição completa.
E o que essa carga pode fazer? "Praticamente qualquer coisa", diz Yomtov. Extensões no Code VS e seus garfos são executados como processos Node.js, o que significa que eles podem acessar arquivos, iniciar outros programas, fazer solicitações de rede e executar o código arbitrário.
Uma atualização maliciosa para uma extensão popular, digamos, o plug -in do Python, poderia instalar silenciosamente um keylogger, roubar cookies do navegador, o código -fonte de deslizar, infectar construir ou backdoor de desenvolvimento inteiro.
Houve casos isolados de extensões desonestas de código vs roubando chaves ssh ou carteiras criptográficas. Mas esse não seria um ator ruim escorregando pelas rachaduras. Isso seria uma aquisição em grande escala, comprometimento da cadeia de suprimentos na escala do ecossistema. Como o Solarwinds, mas para ferramentas de desenvolvedor.
Embora o impacto seja mais grave para editores de desktop como Cursor, Windsurf e VScodium, mesmo ambientes baseados em navegador, como GitPod ou Stackblitz, poderiam ser afetados, dependendo da profundidade das extensões comprometidas.
Então, o que você pode fazer sobre isso?
Perguntamos a Yomtov o que usuários e organizações deveriam tirar esse incidente. Sua resposta foi franca: "Suponha que todas as extensões não sejam confiáveis até que se prove o contrário".
As extensões podem parecer complementos inofensivos, mas sob o capô, são poderosos componentes de software, geralmente escritos por indivíduos, executando com permissões completas e atualizados automaticamente sem supervisão.
"Não é diferente de colocar um pacote de NPM ou Pypi e geralmente ainda pior", diz Yomtov. "Se você não confiar cegamente em um repositório do Github com acesso raiz à sua máquina, também não deve confiar em uma extensão".
Para nos proteger, Yomtov recomenda que as organizações tratem extensões como parte de sua superfície de ataque e aplique a mesma disciplina que usam para qualquer outra dependência. Isso significa:
Mantendo um inventário real do que está instalado, através de quais máquinas e por quem
Avaliar o risco com base em quem construiu a extensão, como é mantida e o que realmente faz
Exibindo políticas claras em torno do que é permitido e agir quando algo sai dos limites
Monitorando continuamente, pois as extensões podem atualizar silenciosamente e introduzir novos riscos durante a noite
A equipe de pesquisa de Koi continua a encontrar extensões vulneráveis e ativamente maliciosas - não apenas no OpenVSX, ou no Marketplace da Microsoft, mesmo em outros mercados de extensão, como a Chrome Web Store.
"O ecossistema cresceu mais rápido que os corrimãos", diz Yomtov. "Até que isso mude, a suposição mais segura é zero confiança. Toda extensão é um potencial backdoor, a menos que você tenha revisado e esteja assistindo".
Yomtov e a equipe da Koi Security divulgaram com responsabilidade a vulnerabilidade à Fundação Eclipse, que mantém o projeto OpenVSX. Nas semanas seguintes, eles trabalharam em estreita colaboração com os mantenedores para validar o problema, projetar uma correção robusta e garantir que o patch foi devidamente implementado e implantado.
Graças a essa colaboração, a vulnerabilidade foi fechada e o mercado é mais uma vez seguro para os milhões de desenvolvedores que dependem diariamente.
Mas o incidente serve como um alerta - até a infraestrutura confiável precisa de um escrutínio constante, especialmente quando mantém as chaves para todo o ecossistema de desenvolvimento.
Saiba como o KOI ajuda as organizações a descobrir, avaliar e governar extensões de risco em vscode, OpenVSX, Chrome e outros mercados
Converse conosco.
Patrocinado e escrito por Koi Security.
Assistentes de codificação de IA, como Cursor e Windsurf, explodiram em popularidade, prometendo produtividade sobrecarregada para desenvolvedores em todo o mundo. Por trás de suas elegantes interfaces, encontra-se uma base compartilhada: garfos de código VS construídos na comunidade e um mercado aberto de extensões que alimenta a magia. Mas, com essa nova onda de ferramentas de desenvolvedor, vem um ponto cego perigoso.
Apelidado de VSXPLOIT: uma única falha esquecida no OpenVSX - um componente crítico na cadeia de suprimentos do desenvolvedor - permitiu um compromisso silencioso e de sistema completo em qualquer máquina que executa um vs vs. Um bug. Controle total.
Vamos mergulhar.
Os editores movidos a IA de hoje dependem fortemente de extensões para oferecer sua funcionalidade mais básica. Recursos como destaques de sintaxe, linha e depuração não são codificados no editor - eles são fornecidos por extensões.
Cada uma dessas extensões é executada com privilégios completos na máquina do desenvolvedor. Por sua vez, isso significa que uma única extensão comprometida pode levar à aquisição completa da máquina de qualquer pessoa que o instale.
Esse cenário exato de pesadelo é o que o pesquisador de segurança Oren Yomtov, da Koi Security, uma empresa que fornece uma plataforma para proteger o provisionamento e extensões de software, tropeçou.
Em um recente post Yomtov explica que, ao examinar o processo de construção por trás do OpenVSX, o mercado de código aberto Extensões de alimentação para ferramentas como cursor, windsurf, vscodium e outros, ele descobriu uma falha crítica.
A vulnerabilidade permitiu que qualquer invasor, não apenas ganhasse controle sobre uma única extensão, mas uma cadeia de suprimentos Armageddon, ganhando controle total sobre todo o mercado.
Dada essa falha, qualquer invasor pode impulsionar atualizações maliciosas na conta confiável @open-vsx. A princípio, Yomtov assumiu que tinha que ser um erro, esse código estava em execução há anos, usado por dezenas de milhões. Mas quando ele recriou o ataque em seu laboratório, a simulação funcionou perfeitamente.
O que parecia impensável foi de repente muito real: um desastre de segurança silencioso e em larga escala estava sentado à vista.
Proteja seu ambiente de desenvolvimento de ameaças de extensão oculta
Saiba como o KOI ajuda as organizações a descobrir, avaliar e governar extensões de risco em vscode, OpenVSX, Chrome e outros mercados.
Ganhe total visibilidade e proteja sua cadeia de suprimentos de desenvolvimento.
Solicite uma demonstração
A vulnerabilidade: uma variação no clássico “PWN Pedido”
Para entender como a vulnerabilidade funcionou, você primeiro precisa entender como as extensões chegam ao OpenVSX em primeiro lugar.
Se você deseja publicar uma extensão para abrir o VSX, você tem duas opções:
Envie -o para abrir o VSX você mesmo
Solicite uma extensão a ser publicada automaticamente, criando uma solicitação de tração que adiciona a extensão à lista no arquivo Extensions.json
"A construção noturna é onde está o problema", diz Yomtov.
Todas as noites, o OpenVSX executa um processo automatizado que busca as mais recentes versões de extensões submitidas da comunidade, as constrói e as publica no mercado. Destina -se para facilitar a vida para os desenvolvedores, mas, neste caso, introduziu uma falha crítica.
Para obter uma extensão publicada automaticamente, tudo o que um desenvolvedor precisa fazer é enviar uma solicitação de tração simples, adicionando-a a uma lista pública. A partir daí, o OpenVSX assume o controle: ele puxa o código, instala as dependências, cria a extensão e o publica usando um token secreto poderoso que pertence à conta confiável @open-vsx.
Esse token deveria ficar oculto, visto apenas pela infraestrutura confiável. Infelizmente, devido à maneira como o processo de compilação executa o código arbitrário de repositórios públicos, qualquer autor de extensão pode criar uma atualização maliciosa que captura silenciosamente o token.
O que é ainda mais alarmante é que eles não precisariam enviar uma extensão maliciosa diretamente. Eles poderiam ter escondido seu código dentro de uma dependência, ou mesmo uma dependência de dependência, e o sistema o teria executado automaticamente durante a construção noturna. A partir daí, roubar o token era trivial.
E com esse token na mão, um atacante não controlava apenas sua própria extensão. Eles poderiam publicar atualizações, substituir as existentes e sequestrar silenciosamente todo o mercado.
O impacto: um pesadelo da cadeia de suprimentos que expôs milhões de desenvolvedores
Com o acesso ao token da conta @Open-VSX, um invasor poderia ter criado um pesadelo da cadeia de suprimentos mundial. "Esse token é uma credencial super-administrada", explica Yomtov. "Ele pode publicar novas extensões, substituir as existentes e representar qualquer editora do ecossistema".
A partir daí, o dano se torna quase sem esforço. Toda vez que um desenvolvedor instala uma extensão ou seu editor de atualização automática em segundo plano, o que acontece continuamente, a carga útil do invasor seria entregue silenciosamente à sua máquina. Sem alertas. Sem prompts. Sem suspeita. Aquisição completa.
E o que essa carga pode fazer? "Praticamente qualquer coisa", diz Yomtov. Extensões no Code VS e seus garfos são executados como processos Node.js, o que significa que eles podem acessar arquivos, iniciar outros programas, fazer solicitações de rede e executar o código arbitrário.
Uma atualização maliciosa para uma extensão popular, digamos, o plug -in do Python, poderia instalar silenciosamente um keylogger, roubar cookies do navegador, o código -fonte de deslizar, infectar construir ou backdoor de desenvolvimento inteiro.
Houve casos isolados de extensões desonestas de código vs roubando chaves ssh ou carteiras criptográficas. Mas esse não seria um ator ruim escorregando pelas rachaduras. Isso seria uma aquisição em grande escala, comprometimento da cadeia de suprimentos na escala do ecossistema. Como o Solarwinds, mas para ferramentas de desenvolvedor.
Embora o impacto seja mais grave para editores de desktop como Cursor, Windsurf e VScodium, mesmo ambientes baseados em navegador, como GitPod ou Stackblitz, poderiam ser afetados, dependendo da profundidade das extensões comprometidas.
Então, o que você pode fazer sobre isso?
Perguntamos a Yomtov o que usuários e organizações deveriam tirar esse incidente. Sua resposta foi franca: "Suponha que todas as extensões não sejam confiáveis até que se prove o contrário".
As extensões podem parecer complementos inofensivos, mas sob o capô, são poderosos componentes de software, geralmente escritos por indivíduos, executando com permissões completas e atualizados automaticamente sem supervisão.
"Não é diferente de colocar um pacote de NPM ou Pypi e geralmente ainda pior", diz Yomtov. "Se você não confiar cegamente em um repositório do Github com acesso raiz à sua máquina, também não deve confiar em uma extensão".
Para nos proteger, Yomtov recomenda que as organizações tratem extensões como parte de sua superfície de ataque e aplique a mesma disciplina que usam para qualquer outra dependência. Isso significa:
Mantendo um inventário real do que está instalado, através de quais máquinas e por quem
Avaliar o risco com base em quem construiu a extensão, como é mantida e o que realmente faz
Exibindo políticas claras em torno do que é permitido e agir quando algo sai dos limites
Monitorando continuamente, pois as extensões podem atualizar silenciosamente e introduzir novos riscos durante a noite
A equipe de pesquisa de Koi continua a encontrar extensões vulneráveis e ativamente maliciosas - não apenas no OpenVSX, ou no Marketplace da Microsoft, mesmo em outros mercados de extensão, como a Chrome Web Store.
"O ecossistema cresceu mais rápido que os corrimãos", diz Yomtov. "Até que isso mude, a suposição mais segura é zero confiança. Toda extensão é um potencial backdoor, a menos que você tenha revisado e esteja assistindo".
Yomtov e a equipe da Koi Security divulgaram com responsabilidade a vulnerabilidade à Fundação Eclipse, que mantém o projeto OpenVSX. Nas semanas seguintes, eles trabalharam em estreita colaboração com os mantenedores para validar o problema, projetar uma correção robusta e garantir que o patch foi devidamente implementado e implantado.
Graças a essa colaboração, a vulnerabilidade foi fechada e o mercado é mais uma vez seguro para os milhões de desenvolvedores que dependem diariamente.
Mas o incidente serve como um alerta - até a infraestrutura confiável precisa de um escrutínio constante, especialmente quando mantém as chaves para todo o ecossistema de desenvolvimento.
Saiba como o KOI ajuda as organizações a descobrir, avaliar e governar extensões de risco em vscode, OpenVSX, Chrome e outros mercados
Converse conosco.
Patrocinado e escrito por Koi Security.
#samirnews #samir #news #boletimtec #o #dia #zero #que #poderia #ter #comprometido #todos #os #usuários #de #cursor #e #windsurf
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
[Seu anúncio pode aparecer aqui]
Postar um comentário