Il team di Open VSX rafforza la sicurezza della piattaforma dopo un incidente di token leaked e la campagna GlassWorm, avvenuti nell’ottobre 2025. In collaborazione con la Eclipse Foundation, vengono introdotte nuove misure di protezione per prevenire abusi futuri e garantire la trasparenza nella gestione degli incidenti. I token compromessi, esposti in repository pubblici a causa di errori umani, vengono revocati immediatamente e non derivano da violazioni infrastrutturali. Partner come Wiz, Microsoft Security Response Center (MSRC) e Koi Security hanno contribuito alle segnalazioni e alle verifiche, permettendo una risposta tempestiva che ha impedito ulteriori compromissioni. Il team di Open VSX conferma che l’incidente si è chiuso il 21 ottobre 2025 senza evidenze di compromissioni residue. L’evento evidenzia la necessità di difese supply chain più robuste all’interno degli ecosistemi open source. In risposta, il progetto introduce limiti di durata per i token, scansioni di sicurezza automatizzate e un workflow di revoca semplificato per ridurre l’impatto di eventuali futuri leak.
Cosa leggere
Contesto dell’incidente
All’inizio di ottobre 2025, Wiz segnala la presenza di token di pubblicazione esposti in repository pubblici, alcuni dei quali collegati ad account Open VSX. Le indagini confermano che la causa risiede in oversight di sviluppatori e non in una breccia del sistema. I token vengono revocati senza ritardi, e in collaborazione con MSRC viene introdotto un nuovo formato con prefisso per facilitare il rilevamento automatico dei token eventualmente esposti in futuro. Il team attiva protocolli di emergenza, avvisa gli sviluppatori coinvolti e collabora con partner esterni per garantire la piena mitigazione del rischio. Le azioni di revoca e rotazione bloccano immediatamente qualsiasi accesso abusivo al registro. Gli utenti finali non subiscono impatti diretti, e le estensioni pubblicate in modo non autorizzato vengono rimosse prima che possano raggiungere gli ambienti di produzione. Il registro mantiene integrità e continuità operativa, mentre la community riceve comunicazioni trasparenti durante tutte le fasi dell’incidente. Gli sviluppatori colpiti ottengono supporto diretto, mentre gli esperti di sicurezza sottolineano l’importanza di gestire in modo sicuro le credenziali e utilizzare strumenti come GitHub Secrets Scanning per prevenire esposizioni accidentali.
La campagna GlassWorm
In parallelo, Koi Security scopre la campagna GlassWorm, in cui attori malevoli sfruttano i token esposti per pubblicare estensioni maliziose nel registro Open VSX. Il malware, pur descritto come “self-propagating”, non si replica autonomamente e non compromette i dispositivi degli utenti finali. Gli attaccanti mirano principalmente al furto di credenziali sviluppatori, nel tentativo di ampliare il proprio raggio d’azione. Il team di Open VSX rimuove le estensioni infette entro poche ore dalla notifica, ruota o revoca i token associati e blocca qualsiasi ulteriore pubblicazione abusiva. I download totali, stimati in circa 35.800 unità, risultano artificialmente gonfiati da bot e tattiche di manipolazione del traffico, nel tentativo di amplificare la percezione dell’attacco. Le verifiche successive confermano che nessuna estensione maliziosa rimane nel registro e che non vi è stata propagazione tra sistemi o macchine utente. La campagna si chiude rapidamente, con assenza di compromissioni infrastrutturali e impatto reale estremamente contenuto. I rapporti di Koi Security forniscono dettagli tecnici utili alla community e vengono integrati nel piano di miglioramento della piattaforma.
Stato attuale e lezioni apprese
Il 21 ottobre 2025, Open VSX annuncia la chiusura ufficiale dell’incidente, confermando il ritorno alla piena sicurezza operativa. Tutti i token compromessi risultano revocati o sostituiti, le estensioni infette eliminate, e non emergono segnali di attività malevole persistenti. Il team prosegue nel monitoraggio continuo dell’ecosistema e mantiene canali di comunicazione aperti con ricercatori e partner. L’esperienza ha spinto a una revisione profonda delle procedure interne e all’adozione di un modello di responsabilità condivisa tra sviluppatori, maintainer e ricercatori di sicurezza.
Le iniziative post-incidente comprendono:
- Riduzione della durata dei token, con scadenze più brevi per limitare le finestre di rischio.
- Automazione della revoca e tooling avanzato per azioni immediate in caso di rilevamento.
- Scansioni di sicurezza in tempo reale su ogni nuova pubblicazione per individuare codice malizioso.
- Prefissi di identificazione dei token per supportare la ricerca automatica di segreti esposti.
- Collaborazione estesa con marketplace terzi e fork di VS Code per condividere threat intelligence e best practice.
Miglioramenti alla piattaforma e impatti sull’ecosistema
L’incidente GlassWorm rappresenta un punto di svolta per la sicurezza della supply chain open source. La combinazione di incident response trasparente, cooperazione intersettoriale e tecnologie di scansione automatizzata rafforza la resilienza del registro Open VSX e dell’intero ecosistema di estensioni VS Code. Le nuove misure assicurano che futuri casi di token leak vengano rilevati e mitigati in tempi ridotti, mentre i workflow di pubblicazione vengono resi più sicuri e monitorati. Partner come Wiz, MSRC e Koi Security continuano a collaborare con il team, fornendo analisi tecniche e supporto per migliorare le pratiche di gestione dei segreti. Open VSX riafferma così il proprio impegno nella trasparenza, nella sicurezza e nella fiducia della community open source, trasformando un incidente critico in un’occasione di rafforzamento strutturale e culturale.
