Há cerca de duas horas, detetámos outras três extensões no Open VSX que foram comprometidas pelo agente de ameaças que temos documentado desde março, usando caracteres não imprimíveis. Na semana passada, identificámos que eles também começaram a comprometer repositórios do GitHub. Hoje, estamos a observar outra onda de ataques contra extensões legítimas do Open VSX.
Os três que identificámos até ao momento são:
- adhamu/history-in-sublime-merge@1.3.4 (4 mil downloads)
- yasuyuky/transient-emacs@0.23.1 (2,4 mil downloads)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3 mil downloads)
Neste momento, notificámos a Open VSX sobre a nossa descoberta e estamos a tentar entrar em contacto com os responsáveis pela manutenção.
Atualização do Open VSX de 27 de outubro
Esta onda surge após uma atualização de segurança publicada pela Open VSX (Eclipse Foundation) em 27 de outubro, reconhecendo os ataques ocorridos e descrevendo as defesas que planeiam implementar:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
Na altura, acreditavam que o incidente estava totalmente controlado. No entanto, os acontecimentos de hoje sugerem que esta é ainda uma situação em curso, cujo fim, infelizmente, ainda não se vislumbra.
Mesmo diante de mais uma onda desse tipo de ataque, elogiamos a Open VSX pelas medidas que planeja tomar. Especialmente a verificação automatizada de extensões no momento da publicação é importante, já que isso também é o que fazemos aqui na Aikido. No entanto, não podemos verificar as extensões antes de serem publicadas. Se implementada corretamente, essa medida protegerá contra muitos ataques no ecossistema. Aplaudimos essa iniciativa da Eclipse Foundation.
Uma saga contínua
É difícil defender-se contra algo que não se consegue ver, como é o caso deste ataque específico. Mas, desde o início, temos acompanhado este agente de ameaças desde março e feito uma cobertura extensa sobre ele. As nossas publicações anteriores e informações técnicas continuam a ser relevantes, e continuaremos a publicar mais informações se/conforme as coisas evoluírem.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
Proteja seu software agora
.avif)
