Blog

Falha no Open VSX afeta VS Code: risco crítico em extensões

Escrito por LC Sec | 30/06/2025 20:43:13
Segurança da Informação

Falha no Open VSX afeta VS Code: risco crítico em extensões

Uma vulnerabilidade crítica no Open VSX Registry expôs milhões de desenvolvedores a riscos de segurança ao permitir a publicação não verificada de extensões para o VS Code. Essa falha, que envolve ...

Navegação

O que é a vulnerabilidade no Open VSX Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas

Resumo rapido

Uma vulnerabilidade crítica no Open VSX Registry expôs milhões de desenvolvedores a riscos de segurança ao permitir a publicação não verificada de extensões para o VS Code. Essa falha, que envolve a exposição de um token secreto, pode resultar na injeção de código malicioso. Medidas preventivas são essenciais para proteger o ambiente de desenvolvimento.

Neste artigo você vai aprender:

  • O que é a vulnerabilidade no Open VSX Registry.
  • Como a falha permite a injeção de código malicioso.
  • Sinais de alerta para identificar extensões suspeitas.
  • Boas práticas para proteger seu ambiente de desenvolvimento.
  • A importância de auditorias e controles rígidos nas extensões.

O que é a vulnerabilidade no Open VSX

Recentemente, descobriu-se uma vulnerabilidade crítica no Open VSX Registry, plataforma que distribui extensões para o VS Code. Essa falha expôs milhões de desenvolvedores a possíveis ataques via cadeia de suprimentos de software, mostrando como até componentes aparentemente inofensivos podem trazer grandes riscos.

Como funciona

O problema está no repositório publish-extensions do Open VSX: ele permite que invasores publiquem ou alterem extensões sem verificação correta. A falha surge de uma ação automatizada via GitHub Actions, que usa um script com permissões elevadas e expõe o token secreto OVSX_PAT, responsável pela autenticação de publicações.

Esse token, em mãos erradas, possibilita que um atacante injete código malicioso em milhões de instalações do VS Code. A vulnerabilidade é preocupante pois muitas equipes utilizam extensões como parte rotineira do desenvolvimento, sem questionar sua origem ou integridade.

Sinais de alerta / Como identificar

Estudos confirmam que cerca de 5,6% das extensões analisadas trazem comportamentos suspeitos, incluindo vazamento de dados como credenciais durante a interação com outras extensões. Esses números reforçam a importância de controles mais rígidos.

O que fazer agora / Como se proteger

Dica de prevenção
Para proteger sua empresa, adote práticas como:

  1. Configure apenas extensões confiáveis no VS Code, usando o recurso de Workspace Trust e permitindo apenas editores verificados.
  2. Exija que equipes usem extensões com selo de editor verificado (Verified Publisher).
  3. Monitore tokens e fluxos de automatização (como o GitHub Actions) que publicam extensões. Revogue imediatamente tokens expostos ou com permissões excessivas.
  4. Audite e revise dependências automatizadas, evitando scripts ofuscados que executem ações invisíveis.
  5. Promova treinamentos internos para desenvolvedores sobre riscos de cadeia de suprimentos e segurança de extensões.

Prevenção / Boas práticas

A vulnerabilidade no Open VSX Registry é um alerta claro: riscos críticos podem estar ocultos nas extensões que usamos diariamente. Por isso, controlar permissões, auditar automatizações e limitar editores confiáveis é essencial.

Proteja seu ciclo de desenvolvimento

A LC SEC oferece suporte especializado para proteger seu ciclo de desenvolvimento, com soluções personalizadas para cadeias seguras de software.

Falar com especialista
Visualizar publicação completa