Vor etwa zwei Stunden haben wir drei weitere Erweiterungen auf Open VSX entdeckt, die von dem seit März dokumentierten Angreifer mithilfe nicht druckbarer Zeichen kompromittiert wurden. Letzte Woche haben wir festgestellt, dass dieser Angreifer auch begonnen hat, GitHub-Repositorys zu kompromittieren. Heute beobachten wir eine weitere Angriffswelle auf legitime Open VSX-Erweiterungen.
Die drei, die wir zum Zeitpunkt der Erstellung dieses Artikels identifiziert haben, sind:
- adhamu/history-in-sublime-merge@1.3.4 (4k Downloads)
- yasuyuky/transient-emacs@0.23.1 (2,4k Downloads)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,3k Downloads)
Wir haben Open VSX über unsere Entdeckung informiert und versuchen derzeit, Kontakt zu den Betreuern aufzunehmen.
Open VSX Update vom 27. Oktober
Diese Welle folgt auf ein Sicherheitsupdate, das Open VSX (Eclipse Foundation) am 27. Oktober veröffentlicht hat, in dem die Angriffe bestätigt und die geplanten Abwehrmaßnahmen dargelegt werden:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
Zu diesem Zeitpunkt glaubten sie, dass der Vorfall vollständig unter Kontrolle sei. Die heutigen Ereignisse deuten jedoch darauf hin, dass es sich leider immer noch um eine andauernde Situation handelt, deren Ende noch nicht abzusehen ist.
Auch wenn wir eine weitere Welle dieser Angriffe erleben, loben wir Open VSX für die Maßnahmen, die sie ergreifen wollen. Insbesondere das automatisierte Scannen von Erweiterungen bei der Veröffentlichung ist wichtig, da wir dies auch hier bei Aikido tun. Allerdings können wir Erweiterungen nicht vor ihrer Veröffentlichung scannen. Bei korrekter Umsetzung schützt dies vor vielen Angriffen im Ökosystem. Wir begrüßen diese Initiative der Eclipse Foundation.
Eine fortlaufende Geschichte
Es ist schwierig, sich gegen etwas zu verteidigen, das man nicht sehen kann, wie es bei diesem speziellen Angriff der Fall ist. Aber wir verfolgen diesen Bedrohungsakteur seit März und haben ausführlich darüber berichtet. Unsere bisherigen Veröffentlichungen und technischen Informationen sind weiterhin relevant, und wir werden weiterhin weitere Informationen veröffentlichen, wenn sich die Lage weiterentwickelt.
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
Sichern Sie Ihre Software jetzt.
.avif)
