Un recente studio ha rivelato che oltre 100 estensioni di Visual Studio Code (VS Code) hanno esposto sviluppatori a gravi rischi nella supply chain del software. Il problema nasce dalla presenza di token di accesso privati all'interno dei file delle estensioni, che potrebbero essere sfruttati da attori malevoli per distribuire aggiornamenti dannosi a tutti gli utenti che hanno installato tali estensioni. Gli esperti di sicurezza hanno spiegato che un token di accesso trapelato permette a un attaccante di diffondere malware direttamente a una vasta base di installazioni, con un impatto potenziale su oltre 150.000 utenti.

Il rischio è amplificato dal fatto che le estensioni VS Code, distribuite come file .vsix, possono essere facilmente aperte e analizzate, rendendo visibili segreti hardcoded come chiavi API, credenziali cloud o token personali. L’analisi ha permesso di identificare oltre 550 segreti validi, distribuiti in più di 500 estensioni provenienti da centinaia di publisher diversi. Tra questi segreti figurano credenziali di provider AI come OpenAI, Gemini e Hugging Face, token di servizi cloud come AWS, Google Cloud e GitHub, oltre a chiavi di database come MongoDB e PostgreSQL.

In numerosi casi sono stati scoperti token di accesso per il Marketplace VS Code e Open VSX, compromettendo ulteriormente la sicurezza della supply chain e consentendo la distribuzione globale di estensioni malevole. Alcune di queste estensioni sono risultate essere semplici temi grafici, dimostrando che anche le estensioni apparentemente innocue possono rappresentare una minaccia significativa.

Un ulteriore rischio è stato evidenziato dalla campagna orchestrata da un attore noto come TigerJack, che ha pubblicato almeno 11 estensioni malevole dotate di funzionalità apparentemente legittime, ma con codice nascosto per rubare codice sorgente, minare criptovalute o installare backdoor. Alcune di queste estensioni sono riuscite a raggiungere migliaia di download prima di essere rimosse dal Marketplace, ma rimangono disponibili su piattaforme alternative meno sicure come Open VSX.

Microsoft ha risposto introducendo la scansione automatica dei segreti nei pacchetti caricati sul marketplace e ha revocato i token compromessi, ma la frammentazione dei marketplace di estensioni lascia ancora ampie zone d’ombra sfruttabili dai cybercriminali. Gli utenti sono invitati a limitare il numero di estensioni installate, verificare attentamente la loro affidabilità e valutare la disattivazione degli aggiornamenti automatici per ridurre la superficie di attacco.