Популярные ИИ-форки Microsoft Visual Studio Code столкнулись с серьезной проблемой безопасности, связанной с цепочкой поставок программного обеспечения. Интегрированные среды разработки (IDE) наследуют список официально рекомендуемых расширений из проприетарного маркетплейса Microsoft, однако фактически загружают их из открытого реестра Open VSX. Это несоответствие создает возможность для эксплуатации, так как многие расширения, присутствующие в списке рекомендаций Microsoft, отсутствуют в базе данных Open VSX, используемой этими редакторами.
Уязвимость возникает из-за того, что пространства имен для отсутствующих расширений в Open VSX оставались незанятыми. Злоумышленники или исследователи безопасности могли свободно зарегистрировать эти пространства и загрузить вредоносные пакеты, используя точные названия, рекомендуемые самой IDE. Механизм срабатывает автоматически: система предлагает установить расширение на основе форматов открываемых файлов (через всплывающие уведомления) или при обнаружении определенного программного обеспечения, установленного на хосте пользователя.
Исследователь безопасности Орен Йомтов из компании Koi продемонстрировал реализацию атаки на примере базы данных PostgreSQL. Если у разработчика установлен PostgreSQL, уязвимая IDE выдает уведомление: «Рекомендуется: расширение PostgreSQL». Нажатие кнопки установки приводит к развертыванию поддельного пакета, так как среда разработки не проверяет подлинность источника в альтернативном реестре Open VSX, полагаясь на имена из каталога Microsoft.
Для подтверждения гипотезы и оценки рисков специалисты Koi загрузили в реестр безопасный пакет-заполнитель, имитирующий реальное расширение PostgreSQL. Результаты эксперимента оказались показательными: фиктивный пакет получил не менее 500 установок. Это доказывает, что пользователи склонны безоговорочно доверяют автоматическим рекомендациям своих интеллектуальных редакторов кода, подвергая свои рабочие станции значительному риску без дополнительной проверки.
Успешная эксплуатация данной уязвимости может привести к катастрофическим последствиям, включая кражу критически важных данных. Под угрозой оказываются учетные данные, секретные ключи доступа и проприетарный исходный код проектов. Злоумышленники, получив доступ к среде разработки через поддельное расширение, способны незаметно эксфильтровать конфиденциальную информацию, используя доверенную среду IDE как канал утечки.
В список уязвимого программного обеспечения попали передовые инструменты разработки, активно использующие искусственный интеллект: Cursor, Windsurf, Google Antigravity и Trae. Все эти редакторы являются форками VS Code и используют Open VSX в качестве основного источника расширений, что и сделало их мишенью для потенциальной атаки через подмену зависимостей.
Чтобы предотвратить реальные атаки, команда Koi превентивно заняла ключевые пространства имен, которые могли быть использованы хакерами. В их число вошли
Реакция индустрии на ответственное раскрытие информации последовала незамедлительно. Команды разработчиков Cursor и Google оперативно выпустили исправления для своих продуктов. The Eclipse Foundation, организация, курирующая реестр Open VSX, также приняла меры: были удалены неофициальные контрибьюторы, связанные с подозрительной активностью, и внедрены более широкие защитные механизмы на уровне самого реестра для предотвращения подобных инцидентов.
Эксперты подчеркивают, что злоумышленники все чаще нацеливаются на маркетплейсы расширений и репозитории с открытым исходным кодом. Разработчикам необходимо проявлять повышенную осторожность: перед загрузкой пакетов или одобрением автоматической установки следует вручную проверять, исходит ли расширение от доверенного издателя, даже если рекомендация поступила непосредственно от интерфейса IDE.
Изображение носит иллюстративный характер
Уязвимость возникает из-за того, что пространства имен для отсутствующих расширений в Open VSX оставались незанятыми. Злоумышленники или исследователи безопасности могли свободно зарегистрировать эти пространства и загрузить вредоносные пакеты, используя точные названия, рекомендуемые самой IDE. Механизм срабатывает автоматически: система предлагает установить расширение на основе форматов открываемых файлов (через всплывающие уведомления) или при обнаружении определенного программного обеспечения, установленного на хосте пользователя.
Исследователь безопасности Орен Йомтов из компании Koi продемонстрировал реализацию атаки на примере базы данных PostgreSQL. Если у разработчика установлен PostgreSQL, уязвимая IDE выдает уведомление: «Рекомендуется: расширение PostgreSQL». Нажатие кнопки установки приводит к развертыванию поддельного пакета, так как среда разработки не проверяет подлинность источника в альтернативном реестре Open VSX, полагаясь на имена из каталога Microsoft.
Для подтверждения гипотезы и оценки рисков специалисты Koi загрузили в реестр безопасный пакет-заполнитель, имитирующий реальное расширение PostgreSQL. Результаты эксперимента оказались показательными: фиктивный пакет получил не менее 500 установок. Это доказывает, что пользователи склонны безоговорочно доверяют автоматическим рекомендациям своих интеллектуальных редакторов кода, подвергая свои рабочие станции значительному риску без дополнительной проверки.
Успешная эксплуатация данной уязвимости может привести к катастрофическим последствиям, включая кражу критически важных данных. Под угрозой оказываются учетные данные, секретные ключи доступа и проприетарный исходный код проектов. Злоумышленники, получив доступ к среде разработки через поддельное расширение, способны незаметно эксфильтровать конфиденциальную информацию, используя доверенную среду IDE как канал утечки.
В список уязвимого программного обеспечения попали передовые инструменты разработки, активно использующие искусственный интеллект: Cursor, Windsurf, Google Antigravity и Trae. Все эти редакторы являются форками VS Code и используют Open VSX в качестве основного источника расширений, что и сделало их мишенью для потенциальной атаки через подмену зависимостей.
Чтобы предотвратить реальные атаки, команда Koi превентивно заняла ключевые пространства имен, которые могли быть использованы хакерами. В их число вошли
ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode и pkosta2005.heroku-command. Эти идентификаторы теперь находятся под контролем исследователей, что исключает возможность размещения там вредоносного кода третьими лицами. Реакция индустрии на ответственное раскрытие информации последовала незамедлительно. Команды разработчиков Cursor и Google оперативно выпустили исправления для своих продуктов. The Eclipse Foundation, организация, курирующая реестр Open VSX, также приняла меры: были удалены неофициальные контрибьюторы, связанные с подозрительной активностью, и внедрены более широкие защитные механизмы на уровне самого реестра для предотвращения подобных инцидентов.
Эксперты подчеркивают, что злоумышленники все чаще нацеливаются на маркетплейсы расширений и репозитории с открытым исходным кодом. Разработчикам необходимо проявлять повышенную осторожность: перед загрузкой пакетов или одобрением автоматической установки следует вручную проверять, исходит ли расширение от доверенного издателя, даже если рекомендация поступила непосредственно от интерфейса IDE.
