Há cerca de 2 horas, detectamos mais três extensões no Open VSX que foram comprometidas pelo ator de ameaça que temos documentado desde março, usando caracteres não imprimíveis. Na semana passada, identificamos que eles também haviam começado a comprometer repositórios GitHub. Hoje, estamos observando outra onda de ataques contra extensões legítimas do Open VSX.
Os três que identificamos no momento da escrita são:
- adhamu/history-in-sublime-merge@1.3.4 (4 mil downloads)
- yasuyuky/transient-emacs@0.23.1 (2,4 mil downloads)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3 mil downloads)
Neste momento, notificamos a Open VSX sobre nossa descoberta e estamos tentando contatar os mantenedores também.
Atualização da Open VSX de 27 de outubro
Esta onda surge após uma atualização de segurança publicada pela Open VSX (Eclipse Foundation) em 27 de outubro, reconhecendo os ataques ocorridos e delineando as defesas que planejam implementar:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
Na época, eles acreditavam que o incidente estava totalmente contido. No entanto, os eventos de hoje sugerem que esta ainda é uma situação em andamento da qual, infelizmente, ainda não vimos o fim.
Mesmo vendo outra onda deste ataque, elogiamos a Open VSX pelas ações que planejam tomar. Especialmente a Verificação Automatizada de extensões na publicação é um grande avanço, já que é isso que fazemos aqui na Aikido. No entanto, não podemos verificar extensões antes de serem publicadas. Se implementado corretamente, isso protegerá contra muitos ataques no ecossistema. Aplaudimos esta iniciativa que a Eclipse Foundation está demonstrando.
Uma saga em andamento
É difícil defender-se de algo que não se pode ver, como é o caso deste ataque específico. Mas desde o início, temos rastreado este agente de ameaça desde março e fizemos uma cobertura extensiva. Nossas publicações anteriores e informações técnicas continuam relevantes, e continuaremos a postar mais informações se/à medida que as coisas evoluírem.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
