Vor etwa 2 Stunden haben wir drei weitere Erweiterungen auf Open VSX entdeckt, die von dem Bedrohungsakteur, den wir seit März dokumentieren, mittels nicht druckbarer Zeichen kompromittiert wurden. Letzte Woche stellten wir fest, dass sie auch begonnen hatten, GitHub-Repositories zu kompromittieren. Heute beobachten wir eine weitere Angriffswelle gegen legitime Open VSX-Erweiterungen.
Die drei, die wir zum Zeitpunkt der Erstellung identifiziert haben, sind:
- adhamu/history-in-sublime-merge@1.3.4 (4k Downloads)
- yasuyuky/transient-emacs@0.23.1 (2.4k Downloads)
- ai-driven-dev/ai-driven-dev@0.4.11 (3.3k Downloads)
Derzeit haben wir Open VSX über unsere Entdeckung informiert und versuchen auch, die Maintainer zu kontaktieren.
Open VSX Update vom 27. Oktober
Diese Welle folgt auf ein Sicherheitsupdate, das Open VSX (Eclipse Foundation) am 27. Oktober veröffentlicht hat, in dem die erfolgten Angriffe bestätigt und die geplanten Abwehrmaßnahmen dargelegt wurden:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
Zu diesem Zeitpunkt glaubten sie, der Vorfall sei vollständig eingedämmt. Die heutigen Ereignisse deuten jedoch darauf hin, dass dies leider immer noch eine andauernde Situation ist, deren Ende wir noch nicht gesehen haben.
Auch wenn wir eine weitere Welle dieses Angriffs erleben, loben wir Open VSX für die geplanten Maßnahmen. Besonders die automatisierte Überprüfung von Erweiterungen bei der Veröffentlichung ist ein großer Schritt, da dies auch das ist, was wir hier bei Aikido tun. Wir können Erweiterungen jedoch nicht scannen, bevor sie veröffentlicht werden. Bei korrekter Implementierung wird dies vor vielen Angriffen im Ökosystem schützen. Wir begrüßen diese Initiative der Eclipse Foundation.
Eine fortlaufende Saga
Es ist schwierig, sich gegen etwas zu verteidigen, das man nicht sehen kann, wie es bei diesem spezifischen Angriff der Fall ist. Doch von Anfang an verfolgen wir diesen Bedrohungsakteur seit März und haben ihn umfassend dokumentiert. Unsere früheren Veröffentlichungen und technischen Informationen bleiben relevant, und wir werden weiterhin Informationen veröffentlichen, wenn sich die Dinge entwickeln.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
