Uma falha crítica no Open VSX Registry, plataforma usada para distribuir extensões do Visual Studio Code, expôs milhões de desenvolvedores ao risco de ataques à cadeia de suprimentos. Pesquisadores de ciberseguranca revelaram que a vulnerabilidade, descoberta no repositório publish-extensions, poderia permitir a invasores publicar ou alterar qualquer extensão no repositório, injetando códigos maliciosos em milhões de máquinas.
O problema estava ligado a um fluxo de trabalho automatizado via GitHub Actions, que executava scripts com permissões elevadas e expunha um token secreto (OVSX_PAT) usado para autenticar publicações. Como o processo incluía a instalação de dependências que podem executar scripts arbitrários, um agente mal-intencionado poderia capturar esse token e obter controle total do mercado. O Open VSX é mantido pela Eclipse Foundation e usado em diversas plataformas como Gitpod, Google Cloud Shell e editores como Windsurf e Cursor, o que amplifica o impacto da falha.
A vulnerabilidade foi reportada em 4 de maio de 2025 e recebeu correções aplicadas em 25 de junho, após múltiplas rodadas de mitigação. Segundo Oren Yomtov, da Koi Security, o comprometimento do Open VSX seria um “cenário de pesadelo”, já que extensões podem ser instaladas ou atualizadas automaticamente sem o conhecimento do usuário. O MITRE reconheceu o risco ao incluir “Extensões IDE” como nova técnica em sua estrutura ATT&CK, destacando seu potencial para acesso persistente em ataques sofisticados.
