Open VSX Registry关键漏洞使攻击者可完全控制Visual Studio Code扩展市场
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
网络安全研究人员发现 Open VSX Registry 存在关键漏洞,攻击者可控制整个扩展市场,影响数百万开发者。该漏洞源于 publish-extensions 代码库,可能导致恶意更新。维护者已于 2025 年 6 月修复该问题。
🎯
关键要点
- 网络安全研究人员发现 Open VSX Registry 存在关键漏洞,攻击者可控制整个扩展市场。
- 该漏洞可能导致数百万开发者的设备受到影响,造成严重的供应链风险。
- 漏洞源于 publish-extensions 代码库,攻击者可推送恶意更新。
- 维护者于 2025 年 6 月修复了该问题。
- Open VSX Registry 是 Visual Studio Marketplace 的开源替代方案,由 Eclipse 基金会维护。
- 该漏洞使攻击者能够获取 @open-vsx 账户令牌,获得特权访问权限。
- MITRE 已在其 ATT&CK 框架中新增了'IDE 扩展'技术,指出恶意行为者可能滥用该技术。
- 每个市场项目都是潜在的后门,应与其他软件包一样严格审查。
❓
延伸问答
Open VSX Registry的关键漏洞是什么?
Open VSX Registry的关键漏洞使攻击者能够完全控制整个Visual Studio Code扩展市场,影响数百万开发者的设备。
这个漏洞可能带来哪些风险?
该漏洞可能导致严重的供应链风险,攻击者可以推送恶意更新,篡改现有扩展。
漏洞是如何被发现和修复的?
漏洞于2025年5月4日被披露,维护者经过多轮修复,最终于6月25日完成修复。
Open VSX Registry是什么?
Open VSX Registry是Visual Studio Marketplace的开源替代方案,由Eclipse基金会维护。
攻击者如何利用这个漏洞?
攻击者可以获取@open-vsx账户令牌,获得特权访问权限,从而发布新扩展或篡改现有扩展。
MITRE对这个漏洞的反应是什么?
MITRE在其ATT&CK框架中新增了'IDE扩展'技术,指出恶意行为者可能滥用该技术。
➡️
