インシデントの概要

Open VSXチームとEclipse Foundationは、人気のコードマーケットプレイスで発生した認証トークンの漏洩と悪意のある拡張機能に関する重大なセキュリティインシデントに対応しました。組織は状況を収束させ、将来の攻撃を防ぐための具体的な措置を講じています。

漏洩したトークンの問題

今月初め、Wizのセキュリティ研究者らは、公開リポジトリで誤って公開された複数の開発者トークンを発見しました。これらのトークンは、開発者が拡張機能を公開・変更するために使用するもので、世界中の開発者が利用するVS Code拡張機能のコミュニティ主導型マーケットプレイスであるOpen VSX Registryのアカウントに属していました。

調査の結果、Open VSXチームは、これらの漏洩したトークンの一部が実際に侵害され、悪意を持って使用されたことを確認しました。しかし、組織は、この露出がOpen VSX自身のインフラストストラクチャの侵害によるものではなく、開発者のミスに起因するものであることを強調しました。チームは直ちに影響を受けたすべてのトークンを失効させ、さらなる悪用を防ぎました。

今後、検出能力を強化するため、Open VSXはMicrosoftのセキュリティレスポンスセンター（MSRC）と協力し、特別なトークンプレフィックス形式を導入しました。この新しい形式により、攻撃者が悪用する前に公開リポジトリをスキャンし、露出したトークンを特定することが格段に容易になります。

「GlassWorm」マルウェアキャンペーン

同時期に、セキュリティ企業Koi Securityは、「GlassWorm」と名付けられたマルウェアキャンペーンを報告しました。このキャンペーンは、一部の露出したトークンを悪用して悪意のある拡張機能を公開していました。これらの拡張機能は、開発者の認証情報を盗むように設計されており、攻撃者がエコシステム全体にその影響を拡大することを可能にしていました。

当初の報告では「自己増殖型ワーム」と表現されていましたが、Open VSXは、マルウェアが自律的に複製するのではなく、認証情報を盗むことでさらなる攻撃を容易にしていたと説明しました。また、報告されたダウンロード数35,800は、脅威アクターが使用したボットや操作戦術によって生成された人工的なダウンロードが含まれているため、実際の被害を過大評価している可能性が高いと指摘しました。

Open VSXチームは迅速に対応し、通知を受け次第、既知の悪意のある拡張機能をプラットフォームからすべて削除し、関連するトークンを失効させました。2025年10月21日現在、組織はこのインシデントが完全に収束しており、継続的な侵害や残存する悪意のあるコンテンツの証拠はないと考えています。

Open VSXの対応と今後の対策

このインシデントは、オープンソースエコシステムにおけるサプライチェーンセキュリティの重要性を浮き彫りにしました。Open VSXは、プラットフォームのセキュリティを強化するためにいくつかの重要な改善を実施しています。

• トークンの有効期間をデフォルトで短縮し、トークンが漏洩した場合の機会を減らします。
• トークンの失効手順を合理化します。
• 公開時に悪意のあるコードパターンを検出するための自動セキュリティスキャンを追加し、拡張機能がユーザーに届く前に検出します。

さらに、Open VSXは、脅威インテリジェンスとセキュリティのベストプラクティスをエコシステム全体で共有するために、他のマーケットプレイス運営者との協力を拡大しています。

サプライチェーンセキュリティの重要性

組織は、サプライチェーンセキュリティが開発者、レジストリ管理者、およびより広範なコミュニティ間の共有された責任であることを強調しました。Open VSXは、透明性を維持し、イノベーションが安全かつセキュアに継続できる、より強靭なオープンソース環境を構築することに引き続きコミットしています。

---

元記事: https://gbhackers.com/open-vsx-registry-responds-to-leaked-tokens/