Menu Mobile
Voltar ao início do blog

Falha no Open VSX afeta VS Code: risco crítico em extensões

Recentemente, descobriu‑se uma vulnerabilidade crítica no Open VSX Registry, plataforma que distribui extensões para o VS Code. Essa falha expôs milhões de desenvolvedores a possíveis ataques via cadeia de suprimentos de software, mostrando como até componentes aparentemente inofensivos podem trazer grandes riscos.

O problema está no repositório publish-extensions do Open VSX: ele permite que invasores publiquem ou alterem extensões sem verificação correta. A falha surge de uma ação automatizada via GitHub Actions, que usa um script com permissões elevadas e expõe o token secreto OVSX_PAT, responsável pela autenticação de publicações 

Esse token, em mãos erradas, possibilita que um atacante injete código malicioso em milhões de instalações do VS Code. A vulnerabilidade é preocupante pois muitas equipes utilizam extensões como parte rotineira do desenvolvimento, sem questionar sua origem ou integridade 

Além disso, estudos confirmam que cerca de 5,6% das extensões analisadas trazem comportamentos suspeitos, incluindo vazamento de dados como credenciais durante a interação com outras extensões . Esses números reforçam a importância de controles mais rígidos.

Dica de prevenção 
Para proteger sua empresa, adote práticas como:

  1. Configure apenas extensões confiáveis no VS Code, usando o recurso de Workspace Trust e permitindo apenas editores verificados 

  2. Exija que equipes usem extensões com selo de editor verificado (Verified Publisher).

  3. Monitore tokens e fluxos de automatização (como o GitHub Actions) que publicam extensões. Revogue imediatamente tokens expostos ou com permissões excessivas.

  4. Audite e revise dependências automatizadas, evitando scripts ofuscados que executem ações invisíveis.

  5. Promova treinamentos internos para devs sobre riscos de cadeia de suprimentos e segurança de extensõe.

A vulnerabilidade no Open VSX Registry é um alerta claro: riscos críticos podem estar ocultos nas extensões que usamos diariamente. Por isso, controlar permissões, auditar automatizações e limitar editores confiáveis é essencial. A LC SEC oferece suporte especializado para proteger seu ciclo de desenvolvimento, com soluções personalizadas para cadeias seguras de software.

👉 Acesse lcsec.io

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

27 de Maio de 2025

Alerta: Mais de 70 Pacotes Maliciosos no npm e VS Code Visam Roubo de Dados e Criptomoedas
10 de Junho de 2025

Vulnerabilidade crítica no OpenSSH permite execução remota
09 de Junho de 2025

OpenAI bloqueia contas usadas por grupos russos, iranianos e chineses