В современном мире программного обеспечения ключевую роль играют открытые экосистемы и репозитории, обеспечивающие доступ к расширениям и инструментам, способствующим ускорению разработки. Open VSX Registry представляет собой открытый проект, альтернативный официальному Visual Studio Marketplace, и служит хранилищем расширений для различных редакторов кода. Им пользуются такие популярные среды, как Cursor, Windsurf, Google Cloud Shell Editor и Gitpod. Недавно исследователи из компании Koi Security выявили критическую уязвимость, которая представила значительную опасность для миллионов разработчиков и пользователей этих расширений. Основная суть уязвимости заключается в системе публикации расширений в реестре Open VSX.
Для автоматизации обновления и добавления новых расширений используется репозиторий publish-extensions, где разработчики подают pull-запросы на добавление необходимых компонентов в файл extensions.json. Ежедневно в 03:03 по UTC запускается рабочий процесс GitHub Actions, использующий список расширений из JSON-файла для публикации этих расширений через пакет vsce npm. Важным моментом является то, что данный процесс выполняется от имени сервисного аккаунта @open-vsx с применением секретного токена OVSX_PAT, предоставляющего права на управление всеми расширениями в реестре. В теории, этот токен должен был быть доступен только доверенному коду внутри рабочего процесса.
Однако корень проблемы состоит в том, что при выполнении npm install запускаются произвольные скрипты сборки всех автоматически публикуемых расширений и их зависимостей. Эти скрипты получают доступ к конфиденциальной переменной окружения OVSX_PAT, что дает злоумышленнику возможность украсть токен и получить полный контроль над площадкой Open VSX. Такая уязвимость превращает всю экосистему расширений в потенциальный канал для распространения вредоносного программного обеспечения. Возможность публикации обновлений с вредоносным кодом способна затронуть миллионы разработчиков, которые используют эти расширения в своей повседневной работе. Как отмечают эксперты, угроза затрагивает не только конечных пользователей, но и компании, зависящие от безопасности компонентов со сторонних источников.
По мере распространения проблемы MITRE в апреле 2025 года ввела новую технику в свою ATT&CK Framework под названием "IDE Extensions", указывая на растущую значимость атак через расширения интегрированной среды разработки. Данная техника предполагает использование расширений как бэкдоров, позволяющих злоумышленникам сохранять устойчивый доступ к системам их жертв. Открытые рынки расширений часто недооценивают уровень рисков, позволяя распространению софта без надлежащего контроля безопасности. По словам исследователей, каждое расширение — это потенциальная точка внедрения вредоносного кода, особенно если не обеспечена должная проверка и ограничение полномочий. Сходные проблемы наблюдаются в экосистемах PyPI, npm, Huggingface и GitHub, что подчеркивает необходимость повышенного внимания к безопасности цепочек поставок программного обеспечения.
В случае с Open VSX уязвимость представляет собой ночной кошмар для поставщиков безопасности. Ежедневное автоматическое обновление расширений, проходящее с использованием повышенных полномочий, открывает невообразимые возможности для компрометации. Разработчики и организации, интегрирующие Open VSX, должны понимать, что за каждым установленным расширением может скрываться угроза, от распространения которой зависит безопасность их систем и данных. После получения отчета о проблеме 4 мая 2025 года, команда поддержки Open VSX предприняла несколько раундов исправлений, которые окончательно были внедрены 25 июня 2025 года. Однако времени на устранение уязвимости было недостаточно, чтобы полностью избежать возможных инцидентов и взломов, учитывая высокий уровень риска.
Важным уроком из этого события становится тот факт, что сложные автоматизированные процессы, доверяющие исполняемому коду, должны строиться по принципам наименьших привилегий и строгого контроля. Необходимо ограничить влияние сторонних скриптов и предусмотреть механизмы проверки внедряемого кода заранее. Эксперты советуют разработчикам внимательно оценивать используемые расширения, регулярно обновлять свое программное обеспечение, а также отслеживать публикации и предупреждения о безопасности от поставщиков и сообществ. Для организаций, использующих Open VSX, рекомендуется внедрять дополнительные уровни защиты, включая мониторинг поведения и сканирование на наличие вредоносного кода в расширениях. В среднем, атаки на цепочки поставок все отчетливей демонстрируют свою эффективность и масштабы.
Как показывает опыт с Open VSX, даже самые открытые и распространенные платформы могут стать целью хакеров, желающих использовать доверие пользователей для внедрения зловредного ПО. Эта уязвимость стала показателем того, насколько важно постоянно совершенствовать процессы безопасности и прозрачность в экосистемах разработки программного обеспечения. Рынок программных расширений должен стремиться к балансу между удобством использования и уровнем доверия, обеспечивая надежные методы аутентификации, изоляции и проверки расширений. В конечном итоге, успех предотвращения подобных инцидентов зависит от совместных усилий разработчиков, поставщиков платформ и сообществ безопасности. Без комплексного подхода и постоянного внимания к деталям уязвимости такого рода будут возникать вновь, подвергая риску глобальные цепочки поставок и инфраструктуру разработки по всему миру.
Важно помнить, что код, которым пользуются миллионы, должен быть не только функциональным, но и безопасным, что требует как высокого профессионализма, так и ответственности на всех этапах создания и распространения программного обеспечения.
![FLUX.1 Kontext [Dev] Inference and Training](/images/EC7A7884-9191-4C21-895F-3982FB374686)
