{"id":22617,"date":"2025-07-04T00:05:00","date_gmt":"2025-07-04T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22617"},"modified":"2025-06-26T18:48:40","modified_gmt":"2025-06-26T21:48:40","slug":"falha-critica-no-open-vsx-registry","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/07\/basico\/falha-critica-no-open-vsx-registry\/","title":{"rendered":"Falha cr\u00edtica no Open VSX Registry"},"content":{"rendered":"\n

Falha cr\u00edtica no Open VSX Registry compromete seguran\u00e7a da cadeia de suprimentos de extens\u00f5es<\/strong><\/p>\n

Uma vulnerabilidade recentemente identificada no Open VSX Registry acendeu um alerta preocupante no ecossistema de desenvolvimento de software. Trata-se de uma falha cr\u00edtica com potencial de permitir que um atacante assuma o controle total do reposit\u00f3rio de extens\u00f5es utilizado por diversos editores baseados em Visual Studio Code, colocando em risco milh\u00f5es de usu\u00e1rios ao redor do mundo. A descoberta foi feita pelo pesquisador Oren Yomtov, da Koi Security, que apontou que a explora\u00e7\u00e3o dessa brecha poderia resultar em um ataque sist\u00eamico contra a cadeia de suprimentos de software.<\/p>\n

\u00a0<\/p>\n

O funcionamento do processo automatizado e sua fragilidade<\/strong><\/p>\n

O problema est\u00e1 relacionado ao processo automatizado de publica\u00e7\u00e3o de extens\u00f5es no Open VSX Registry. A infraestrutura atual permite que desenvolvedores solicitem a inclus\u00e3o de suas extens\u00f5es por meio de pull requests no reposit\u00f3rio GitHub \u201cpublish-extensions\u201d. Uma vez aceito o pedido, um fluxo de trabalho \u00e9 acionado via GitHub Actions, encarregado de processar e publicar automaticamente os pacotes na plataforma.<\/p>\n

Embora esse processo vise facilitar e descentralizar a contribui\u00e7\u00e3o para o ecossistema de extens\u00f5es, ele introduz um risco substancial. Durante a execu\u00e7\u00e3o do fluxo automatizado, o sistema utiliza credenciais sens\u00edveis \u2014 incluindo um token de acesso com permiss\u00f5es de publica\u00e7\u00e3o \u2014 que podem ser expostos caso extens\u00f5es maliciosas ou depend\u00eancias comprometidas sejam processadas durante a etapa de instala\u00e7\u00e3o. Esse detalhe t\u00e9cnico torna a cadeia suscet\u00edvel a manipula\u00e7\u00f5es que podem comprometer a integridade de todo o registro.<\/p>\n

\u00a0<\/p>\n

O impacto silencioso de uma explora\u00e7\u00e3o bem-sucedida<\/strong><\/p>\n

Com acesso ao token de publica\u00e7\u00e3o, um atacante teria a capacidade de modificar ou inserir extens\u00f5es diretamente no reposit\u00f3rio, distribuindo cargas maliciosas de forma praticamente invis\u00edvel. Considerando que o Open VSX Registry \u00e9 utilizado como backend por diversos ambientes de desenvolvimento, como Gitpod, Cursor, Google Cloud Shell Editor e outros, os danos potenciais s\u00e3o amplificados. Uma \u00fanica extens\u00e3o comprometida poderia se infiltrar em centenas de milhares de ambientes, criando um vetor silencioso para ataques sofisticados e persistentes.<\/p>\n

\u00a0<\/p>\n

Resposta da comunidade e medidas de corre\u00e7\u00e3o<\/strong><\/p>\n

Ap\u00f3s a divulga\u00e7\u00e3o respons\u00e1vel feita no in\u00edcio de maio de 2025, os mantenedores do Open VSX Registry trabalharam em conjunto com o pesquisador para aplicar as corre\u00e7\u00f5es necess\u00e1rias. As mudan\u00e7as foram efetivadas em junho, encerrando a vulnerabilidade e refor\u00e7ando os mecanismos de seguran\u00e7a relacionados \u00e0 publica\u00e7\u00e3o automatizada de extens\u00f5es. A rea\u00e7\u00e3o r\u00e1pida e transparente da comunidade ajudou a evitar um incidente de grandes propor\u00e7\u00f5es, destacando a import\u00e2ncia de processos bem definidos para lidar com vulnerabilidades em sistemas abertos.<\/p>\n

\u00a0<\/p>\n

A import\u00e2ncia de tratar extens\u00f5es como software cr\u00edtico<\/strong><\/p>\n

O epis\u00f3dio deixa uma li\u00e7\u00e3o clara: extens\u00f5es de ambientes de desenvolvimento devem ser tratadas com o mesmo rigor aplicado a bibliotecas de terceiros oriundas de reposit\u00f3rios como npm, PyPI ou GitHub. Ignorar os riscos embutidos em depend\u00eancias aparentemente inofensivas abre caminho para ataques que exploram justamente a confian\u00e7a excessiva nas ferramentas cotidianas do desenvolvedor. A vigil\u00e2ncia cont\u00ednua, aliada \u00e0 auditoria de processos automatizados, torna-se uma pe\u00e7a essencial na constru\u00e7\u00e3o de cadeias de suprimentos mais resilientes.<\/p>\n

\u00a0<\/p>\n

Fonte e imagens: https:\/\/thehackernews.com\/2025\/06\/critical-open-vsx-registry-flaw-exposes.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Falha cr\u00edtica no Open VSX Registry compromete seguran\u00e7a da cadeia de suprimentos de extens\u00f5es Uma vulnerabilidade recentemente identificada no Open VSX Registry acendeu um alerta preocupante no ecossistema de desenvolvimento de software. Trata-se de uma falha cr\u00edtica com potencial de permitir que um atacante assuma o controle total do reposit\u00f3rio de extens\u00f5es utilizado por diversos […]<\/p>\n","protected":false},"author":2,"featured_media":22621,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-22617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22617"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22617\/revisions"}],"predecessor-version":[{"id":22620,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22617\/revisions\/22620"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22621"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}