Um zero‑day crítico foi descoberto no OpenVSX – marketplace de extensões usado por editores como Cursor, Windsurf e VSCodium. A falha permitia que um único pacote malicioso comprometesse milhões de máquinas de desenvolvedores.
Pesquisador da Koi Security, Oren Yomtov, identificou que o pipeline automatizado do OpenVSX executava código arbitrário presente em dependências de extensões, usando um token secreto com privilégios de publicação sob a conta @open‑vsx. Isso permitia que qualquer invasor submetesse uma extensão maliciosa — ou injetasse código em dependências — e capturasse o token. A partir daí, poderia distribuir atualizações comprometidas silenciosamente, sem alertas aos usuários
Estimativas indicam que mais de 10 milhões de máquinas estavam em risco de comprometimento completo — acesso a arquivos, execução de código, roubo de chaves SSH, injeção em pipelines de CI/CD e até keyloggers
A falha foi corrigida junto à Eclipse Foundation após divulgação responsável, mas evidencia a fragilidade das cadeias de extensões utilizadas por editores de código
Dica de prevenção
-
Considere cada extensão um risco: evite instalá-las sem avaliação.
-
Mantenha inventário de extensões instaladas e restrinja atualizações automáticas.
-
Utilize políticas de controle baseadas em permissões e hash de pacotes no ambiente corporativo.
-
Implemente monitoramento de alterações súbitas de extensões e scans regulares em endpoints de desenvolvimento.
A falha VSXPloit no OpenVSX é um alerta para a importância de uma abordagem zero‑trust na cadeia de extensões de IDEs e editores. Em ambientes corporativos, a aplicação de controles, auditoria e acompanhamento contínuo é essencial.
Na LC SEC, oferecemos serviços especializados em análise de segurança de ambientes de desenvolvimento, políticas de gestão de extensões e monitoramento contínuo para proteção do pipeline DevOps. Proteja seu time e seus assets: conheça nossos serviços em lcsec.io
Compartilhe nas redes sociais:
