Open VSX Registry关键漏洞使攻击者可完全控制Visual Studio Code扩展市场
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
网络安全研究人员发现 Open VSX Registry 存在关键漏洞,攻击者可控制整个扩展市场,影响数百万开发者。该漏洞源于 publish-extensions 代码库,可能导致恶意更新。维护者已于 2025 年 6 月修复该问题。
🎯
关键要点
- 网络安全研究人员发现 Open VSX Registry 存在关键漏洞,攻击者可控制整个扩展市场。
- 该漏洞可能导致数百万开发者的设备受到影响,造成严重的供应链风险。
- 漏洞源于 publish-extensions 代码库,攻击者可推送恶意更新。
- 维护者于 2025 年 6 月修复了该问题。
- Open VSX Registry 是 Visual Studio Marketplace 的开源替代方案,由 Eclipse 基金会维护。
- 该漏洞使攻击者能够获取 @open-vsx 账户令牌,获得特权访问权限。
- MITRE 已在其 ATT&CK 框架中新增了'IDE 扩展'技术,指出恶意行为者可能滥用该技术。
- 每个市场项目都是潜在的后门,应与其他软件包一样严格审查。
➡️
