Blog

Zero‑day em OpenVSX poderia comprometer Cursor, Windsurf

Escrito por LC Sec | 14/07/2025 22:40:58
Segurança da Informação

Zero‑day em OpenVSX poderia comprometer Cursor, Windsurf e VSCodium

Um zero-day crítico foi encontrado no OpenVSX, permitindo que pacotes maliciosos comprometem milhões de máquinas de desenvolvedores. Essa falha, identificada por Oren Yomtov da Koi Security, eviden...

Navegação

O que é um zero-day no OpenVSX? Como funciona Sinais de alerta / Como identificar O que fazer agora / Como se proteger Prevenção / Boas práticas Perguntas frequentes

Resumo rápido

Um zero-day crítico foi encontrado no OpenVSX, permitindo que pacotes maliciosos comprometem milhões de máquinas de desenvolvedores. Essa falha, identificada por Oren Yomtov da Koi Security, evidencia a fragilidade das cadeias de extensões em editores de código, ameaçando a segurança de ambientes de desenvolvimento.

Neste artigo você vai aprender:

  • O que é o zero-day no OpenVSX e como ele afeta editores como Cursor, Windsurf e VSCodium.
  • Como a falha permite a execução de código malicioso em dependências de extensões.
  • Os riscos envolvidos, incluindo acesso a arquivos e execução de código.
  • Dicas de prevenção para proteger ambientes de desenvolvimento.
  • A importância de uma abordagem zero-trust na gestão de extensões.

O que é um zero-day no OpenVSX?

Um zero-day crítico foi descoberto no OpenVSX – marketplace de extensões usado por editores como Cursor, Windsurf e VSCodium. A falha permitia que um único pacote malicioso comprometesse milhões de máquinas de desenvolvedores.

Como funciona

Oren Yomtov, pesquisador da Koi Security, identificou que o pipeline automatizado do OpenVSX executava código arbitrário presente em dependências de extensões, utilizando um token secreto com privil��gios de publicação sob a conta @open‑vsx.. Isso possibilitava que invasores submetessem extensões maliciosas ou injetassem código em dependências, capturando o token e distribuindo atualizações comprometidas silenciosamente.

Sinais de alerta / Como identificar

Mais de 10 milhões de máquinas estavam em risco de comprometimento total, com possíveis acessos a arquivos, execução de código, roubo de chaves SSH, injeção em pipelines de CI/CD e até keyloggers.

O que fazer agora / Como se proteger

A falha foi corrigida junto à Eclipse Foundation após divulgação responsável, mas evidencia a fragilidade das cadeias de extensões utilizadas por editores de código.

Prevenção / Boas práticas

  1. Considere cada extensão um risco: evite instalá-las sem avaliação.
  2. Mantenha inventário de extensões instaladas e restrinja atualizações automáticas.
  3. Utilize políticas de controle baseadas em permissões e hash de pacotes no ambiente corporativo.
  4. Implemente monitoramento de alterações súbitas de extensões e scans regulares em endpoints de desenvolvimento.

A falha VSXPloit no OpenVSX é um alerta para a importância de uma abordagem zero-trust na cadeia de extensões de IDEs e editores. Em ambientes corporativos, a aplicação de controles, auditoria e acompanhamento contínuo é essencial.

Proteja seu ambiente de desenvolvimento

Na LC SEC, oferecemos serviços especializados em análise de segurança de ambientes de desenvolvimento, políticas de gestão de extensões e monitoramento contínuo para proteção do pipeline DevOps. Conheça nossos serviços em lcsec.io.

Falar com especialista

Perguntas frequentes

O que é um zero-day?

Um zero-day é uma vulnerabilidade de segurança que é desconhecida para os desenvolvedores do software afetado e que pode ser explorada por invasores.

Quais são os riscos associados a falhas no OpenVSX?

Os riscos incluem acesso não autorizado a arquivos, execução de código malicioso, roubo de chaves SSH e injeções em pipelines de CI/CD.

Como posso proteger meu ambiente de desenvolvimento?

Implemente boas práticas como manter um inventário de extensões, restringir atualizações automáticas e realizar monitoramento contínuo.
Visualizar publicação completa