Фонд Eclipse отзывает утекшие токены Open VSX после обнаружения Wiz

Фонд Eclipse только что принял жесткие меры в отношении утекших токенов Open VSX после того, как исследователи Wiz обнаружили серьезную уязвимость безопасности. Перевод: они отозвали все скомпрометированные токены и внедрили серьезные обновления безопасности для предотвращения будущих атак на цепочку поставок.

Вот что произошло: Wiz обнаружил, что токены Open VSX — те ключи аутентификации для публикации расширений VS Code — были случайно раскрыты, что потенциально позволяло злоумышленникам публиковать вредоносные расширения в маркетплейсе. Фонд Eclipse немедленно отозвал все затронутые токены и внедрил новые меры безопасности, включая обязательную двухфакторную аутентификацию для издателей и расширенный мониторинг токенов.

Почему это важно: Open VSX — это открытая альтернатива маркетплейсу Microsoft VS Code, используемая тысячами разработчиков ежедневно. Скомпрометированный токен мог привести к атакам на цепочку поставок, затрагивающим миллионы разработчиков по всему миру — представьте вредоносные расширения, крадущие учетные данные или внедряющие бэкдоры.

Обновления безопасности включают:

Суть: Если вы публикуете расширения VS Code через Open VSX, вам потребуется повторно пройти аутентификацию с новыми требованиями безопасности. Фонд Eclipse рассматривает это как критический сигнал к пробуждению в области безопасности цепочки поставок для всей экосистемы открытого исходного кода.