📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Eclipse Foundation, que mantém o projeto Open VSX de código aberto, disse que tomou medidas para revogar um pequeno número de tokens que vazaram nas extensões do Visual Studio Code (VS Code) publicadas no mercado.
A ação ocorre após um relatório da empresa de segurança em nuvem Wiz no início deste mês, que descobriu que várias extensões do VS Code Marketplace da Microsoft e do Open VSX expuseram inadvertidamente seus tokens de acesso em repositórios públicos, potencialmente permitindo que atores mal-intencionados assumissem o controle e distribuíssem malware, envenenando efetivamente a cadeia de fornecimento de extensões.
“Após investigação, confirmamos que um pequeno número de tokens foi vazado e poderia ser potencialmente usado para publicar ou modificar extensões”, disse Mikaël Barbero, chefe de segurança da Fundação Eclipse, em comunicado. “Essas exposições foram causadas por erros dos desenvolvedores, e não por um comprometimento da infraestrutura do Open VSX.”
A Open VSX disse que também introduziu um formato de prefixo de token “ovsxp_” em colaboração com o Microsoft Security Response Center (MSRC) para facilitar a verificação de tokens expostos em repositórios públicos.
Além disso, os mantenedores do registro disseram que identificaram e removeram todas as extensões que foram recentemente sinalizadas pela Koi Security como parte de uma campanha chamada “GlassWorm”, enfatizando ao mesmo tempo que o malware distribuído através da atividade não era um “worm auto-replicante”, pois primeiro precisa roubar credenciais de desenvolvedor para estender seu alcance.
“Também acreditamos que a contagem de downloads relatada de 35.800 exagera o número real de usuários afetados, pois inclui downloads inflacionados gerados por bots e táticas de aumento de visibilidade usadas pelos atores da ameaça”, acrescentou Barbero.
A Open VSX disse que também está em processo de aplicação de uma série de mudanças de segurança para reforçar a cadeia de abastecimento, incluindo -
Reduzir os limites de vida útil do token por padrão para reduzir o impacto de vazamentos acidentais
Facilitando a revogação do token mediante notificação
Verificação automatizada de extensões no momento da publicação para verificar padrões de códigos maliciosos ou segredos incorporados
As novas medidas para fortalecer a resiliência cibernética do ecossistema surgem no momento em que o ecossistema fornecedor de software e os desenvolvedores se tornam cada vez mais alvo de ataques, permitindo aos invasores acesso persistente e de longo alcance aos ambientes empresariais.
“Incidentes como este nos lembram que a segurança da cadeia de suprimentos é uma responsabilidade compartilhada: desde os editores que gerenciam seus tokens com cuidado até os mantenedores de registros que melhoram as capacidades de detecção e resposta”, disse Barbero.
A ação ocorre após um relatório da empresa de segurança em nuvem Wiz no início deste mês, que descobriu que várias extensões do VS Code Marketplace da Microsoft e do Open VSX expuseram inadvertidamente seus tokens de acesso em repositórios públicos, potencialmente permitindo que atores mal-intencionados assumissem o controle e distribuíssem malware, envenenando efetivamente a cadeia de fornecimento de extensões.
“Após investigação, confirmamos que um pequeno número de tokens foi vazado e poderia ser potencialmente usado para publicar ou modificar extensões”, disse Mikaël Barbero, chefe de segurança da Fundação Eclipse, em comunicado. “Essas exposições foram causadas por erros dos desenvolvedores, e não por um comprometimento da infraestrutura do Open VSX.”
A Open VSX disse que também introduziu um formato de prefixo de token “ovsxp_” em colaboração com o Microsoft Security Response Center (MSRC) para facilitar a verificação de tokens expostos em repositórios públicos.
Além disso, os mantenedores do registro disseram que identificaram e removeram todas as extensões que foram recentemente sinalizadas pela Koi Security como parte de uma campanha chamada “GlassWorm”, enfatizando ao mesmo tempo que o malware distribuído através da atividade não era um “worm auto-replicante”, pois primeiro precisa roubar credenciais de desenvolvedor para estender seu alcance.
“Também acreditamos que a contagem de downloads relatada de 35.800 exagera o número real de usuários afetados, pois inclui downloads inflacionados gerados por bots e táticas de aumento de visibilidade usadas pelos atores da ameaça”, acrescentou Barbero.
A Open VSX disse que também está em processo de aplicação de uma série de mudanças de segurança para reforçar a cadeia de abastecimento, incluindo -
Reduzir os limites de vida útil do token por padrão para reduzir o impacto de vazamentos acidentais
Facilitando a revogação do token mediante notificação
Verificação automatizada de extensões no momento da publicação para verificar padrões de códigos maliciosos ou segredos incorporados
As novas medidas para fortalecer a resiliência cibernética do ecossistema surgem no momento em que o ecossistema fornecedor de software e os desenvolvedores se tornam cada vez mais alvo de ataques, permitindo aos invasores acesso persistente e de longo alcance aos ambientes empresariais.
“Incidentes como este nos lembram que a segurança da cadeia de suprimentos é uma responsabilidade compartilhada: desde os editores que gerenciam seus tokens com cuidado até os mantenedores de registros que melhoram as capacidades de detecção e resposta”, disse Barbero.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #eclipse #foundation #revoga #tokens #vsx #abertos #vazados #após #descoberta #de #wiz
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário