LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke im Open VSX Registry hat die Entwicklergemeinschaft in Alarmbereitschaft versetzt. Diese Schwachstelle könnte potenziell Millionen von Entwicklern weltweit gefährden und die gesamte Lieferkette von Visual Studio Code-Erweiterungen kompromittieren.
Die Open VSX Registry, eine Open-Source-Alternative zum Visual Studio Marketplace, steht im Zentrum einer kritischen Sicherheitslücke, die von Koi Security entdeckt wurde. Diese Schwachstelle hätte es Angreifern ermöglicht, die Kontrolle über den gesamten Marktplatz für Visual Studio Code-Erweiterungen zu übernehmen. Dies stellt ein erhebliches Risiko für die Lieferkette dar, da Millionen von Entwicklermaschinen betroffen sein könnten.
Oren Yomtov, ein Forscher bei Koi Security, erklärte, dass die Ausnutzung eines CI-Problems es einem böswilligen Akteur ermöglichen könnte, schädliche Updates für jede Erweiterung auf Open VSX zu veröffentlichen. Nach einer verantwortungsvollen Offenlegung am 4. Mai 2025 wurden mehrere Korrekturrunden von den Maintainer vorgeschlagen, bevor die endgültige Lösung am 25. Juni implementiert wurde.
Open VSX wird von der Eclipse Foundation verwaltet und ist in mehrere Code-Editoren wie Cursor, Windsurf und Google Cloud Shell Editor integriert. Diese weit verbreitete Nutzung bedeutet, dass ein Kompromiss von Open VSX ein Albtraum-Szenario für die Lieferkette darstellt. Jedes Mal, wenn eine Erweiterung installiert oder ein Update im Hintergrund abgerufen wird, erfolgt dies über Open VSX.
Die von Koi Security entdeckte Schwachstelle liegt im publish-extensions Repository, das Skripte zum Veröffentlichen von Open-Source-VS-Code-Erweiterungen auf open-vsx.org enthält. Entwickler können ihre Erweiterung zur automatischen Veröffentlichung anfordern, indem sie einen Pull-Request einreichen, um sie zur Datei extensions.json im Repository hinzuzufügen, die dann genehmigt und zusammengeführt wird.
Im Backend wird dies durch einen GitHub Actions-Workflow umgesetzt, der täglich um 03:03 Uhr UTC ausgeführt wird und als Eingabe eine Liste von durch Kommas getrennten Erweiterungen aus der JSON-Datei verwendet, um sie mit dem vsce npm-Paket im Registry zu veröffentlichen. Dieser Workflow läuft mit privilegierten Anmeldeinformationen, einschließlich eines geheimen Tokens (OVSX_PAT) des @open-vsx Dienstkontos, das die Macht hat, jede Erweiterung im Marktplatz zu veröffentlichen oder zu überschreiben.
Das Risiko, das von Erweiterungen ausgeht, ist auch MITRE nicht entgangen, das im April 2025 eine neue Technik namens „IDE Extensions“ in sein ATT&CK-Framework aufgenommen hat. Diese könnte von böswilligen Akteuren genutzt werden, um einen dauerhaften Zugang zu Opfersystemen zu etablieren. Jede Marktplatz-Erweiterung ist ein potenzielles Hintertürchen, so Yomtov. Sie sind unüberprüfte Software-Abhängigkeiten mit privilegiertem Zugriff und verdienen die gleiche Sorgfalt wie jedes Paket von PyPI, npm oder GitHub.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Quereinsteiger (m/w/d) – Einstieg in moderne Fertigung mit Künstlicher Intelligenz in Düsseldorf
KI-Künstliche Intelligenz Gaming Manager (m/w/d) – Quereinsteiger willkommen! in Berlin
Werkstudent (m/w/d) für die Entwicklung eines KI-gestützten Vertragsmanagements
KI Manager (m/w/ im Gesundheitswesen
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Kritische Sicherheitslücke im Open VSX Registry bedroht Entwickler" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Kritische Sicherheitslücke im Open VSX Registry bedroht Entwickler" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Kritische Sicherheitslücke im Open VSX Registry bedroht Entwickler« bei Google Deutschland suchen, bei Bing oder Google News!