⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um bug agora corrigido que afeta o pipeline de verificação de pré-publicação do Open VSX, fazendo com que a ferramenta permita que uma extensão maliciosa do Microsoft Visual Studio Code (VS Code) passe no processo de verificação e entre no registro.
“O pipeline tinha um único valor de retorno booleano que significava 'nenhum scanner está configurado' e 'todos os scanners falharam ao executar'”, disse o pesquisador da Koi Security, Oran Simhony, em um relatório compartilhado com o The Hacker News. "O chamador não percebeu a diferença. Então, quando os scanners falharam sob carga, o Open VSX tratou isso como 'nada para procurar' e acenou para a extensão."
No início do mês passado, a Eclipse Foundation, que mantém o Open VSX, anunciou planos para aplicar verificações de segurança pré-publicação antes que as extensões do VS Code sejam publicadas no repositório, em uma tentativa de resolver o problema crescente de extensões maliciosas.
Com o Open VSX também servindo como mercado de extensões para Cursor, Windsurf e outros forks do VS Code, a mudança foi vista como uma abordagem proativa para evitar que extensões não autorizadas fossem publicadas em primeiro lugar. Como parte da verificação pré-publicação, as extensões que falham no processo são colocadas em quarentena para análise do administrador.
A vulnerabilidade descoberta pelo Koi, codinome Open Sesame, tem a ver com a forma como este serviço baseado em Java relata os resultados da verificação. Especificamente, está enraizado no fato de que ele interpreta mal as falhas de trabalho do scanner, pois nenhum scanner está configurado, fazendo com que uma extensão seja marcada como aprovada e, em seguida, imediatamente ativada e disponibilizada para download no Open VSX.
Ao mesmo tempo, também pode se referir a um cenário em que os scanners existem e os trabalhos de scanner falharam e não podem ser enfileirados porque o pool de conexões do banco de dados está esgotado. Ainda mais preocupante, um serviço de recuperação projetado para tentar novamente verificações com falha sofria do mesmo problema, permitindo assim que as extensões ignorassem todo o processo de verificação sob certas condições.
Um invasor pode aproveitar essa fraqueza para inundar o endpoint de publicação com diversas extensões .VSIX maliciosas, fazendo com que a carga simultânea esgote o pool de conexões do banco de dados. Isso, por sua vez, leva a um cenário em que os trabalhos de verificação não conseguem ser enfileirados.
O que é notável sobre o ataque é que ele não requer nenhum privilégio especial. Um agente mal-intencionado com uma conta de editor gratuita poderia ter acionado essa vulnerabilidade de forma confiável para prejudicar o processo de verificação e publicar sua extensão. O problema foi resolvido no Open VSX versão 0.32.0 no mês passado, após divulgação responsável em 8 de fevereiro de 2026.
“A digitalização pré-publicação é uma camada importante, mas é uma camada”, disse Koi. "O design do gasoduto é sólido, mas um único booleano que não conseguia distinguir entre 'nada a fazer' e 'algo deu errado' transformou toda a infraestrutura em um portão que se abriu sob pressão."
"Este é um antipadrão comum: tratamento de erro de falha aberta escondido atrás de um caminho de código projetado para um caso legítimo de 'nada a fazer'. Se você estiver construindo pipelines semelhantes, torne explícitos os estados de falha. Nunca deixe 'nenhum trabalho necessário' e 'trabalho falhou' compartilhem um valor de retorno. "
“O pipeline tinha um único valor de retorno booleano que significava 'nenhum scanner está configurado' e 'todos os scanners falharam ao executar'”, disse o pesquisador da Koi Security, Oran Simhony, em um relatório compartilhado com o The Hacker News. "O chamador não percebeu a diferença. Então, quando os scanners falharam sob carga, o Open VSX tratou isso como 'nada para procurar' e acenou para a extensão."
No início do mês passado, a Eclipse Foundation, que mantém o Open VSX, anunciou planos para aplicar verificações de segurança pré-publicação antes que as extensões do VS Code sejam publicadas no repositório, em uma tentativa de resolver o problema crescente de extensões maliciosas.
Com o Open VSX também servindo como mercado de extensões para Cursor, Windsurf e outros forks do VS Code, a mudança foi vista como uma abordagem proativa para evitar que extensões não autorizadas fossem publicadas em primeiro lugar. Como parte da verificação pré-publicação, as extensões que falham no processo são colocadas em quarentena para análise do administrador.
A vulnerabilidade descoberta pelo Koi, codinome Open Sesame, tem a ver com a forma como este serviço baseado em Java relata os resultados da verificação. Especificamente, está enraizado no fato de que ele interpreta mal as falhas de trabalho do scanner, pois nenhum scanner está configurado, fazendo com que uma extensão seja marcada como aprovada e, em seguida, imediatamente ativada e disponibilizada para download no Open VSX.
Ao mesmo tempo, também pode se referir a um cenário em que os scanners existem e os trabalhos de scanner falharam e não podem ser enfileirados porque o pool de conexões do banco de dados está esgotado. Ainda mais preocupante, um serviço de recuperação projetado para tentar novamente verificações com falha sofria do mesmo problema, permitindo assim que as extensões ignorassem todo o processo de verificação sob certas condições.
Um invasor pode aproveitar essa fraqueza para inundar o endpoint de publicação com diversas extensões .VSIX maliciosas, fazendo com que a carga simultânea esgote o pool de conexões do banco de dados. Isso, por sua vez, leva a um cenário em que os trabalhos de verificação não conseguem ser enfileirados.
O que é notável sobre o ataque é que ele não requer nenhum privilégio especial. Um agente mal-intencionado com uma conta de editor gratuita poderia ter acionado essa vulnerabilidade de forma confiável para prejudicar o processo de verificação e publicar sua extensão. O problema foi resolvido no Open VSX versão 0.32.0 no mês passado, após divulgação responsável em 8 de fevereiro de 2026.
“A digitalização pré-publicação é uma camada importante, mas é uma camada”, disse Koi. "O design do gasoduto é sólido, mas um único booleano que não conseguia distinguir entre 'nada a fazer' e 'algo deu errado' transformou toda a infraestrutura em um portão que se abriu sob pressão."
"Este é um antipadrão comum: tratamento de erro de falha aberta escondido atrás de um caminho de código projetado para um caso legítimo de 'nada a fazer'. Se você estiver construindo pipelines semelhantes, torne explícitos os estados de falha. Nunca deixe 'nenhum trabalho necessário' e 'trabalho falhou' compartilhem um valor de retorno. "
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bug #vsx #aberto #permite #que #extensões #de #código #vs #maliciosas #ignorem #as #verificações #de #segurança #prépublicação
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário