Giriş
Eclipse Foundation, Open VSX Registry’de Microsoft Visual Studio Code (VS Code) eklentileri için güvenlik kontrolleri uygulamaya başladığını duyurdu. Bu adım, tedarik zinciri tehditlerine karşı proaktif bir koruma sağlamak amacıyla atılmıştır.
Saldırı Nasıl Çalışıyor?
Açık kaynak paket kayıtları ve uzantı pazarları, kötü niyetli aktörlerin hedef alması için cazip hale gelmiştir. Bu tehditler, özellikle aşağıdaki yöntemlerle geliştiricileri hedef almayı kolaylaştırmaktadır:
- İsim alanı taklidi (namespace impersonation)
- Yazım hatası ile yapılan sahtecilik (typosquatting)
- Yetki gaspı ile kirletilmiş güncellemeler
Daha önce, bir saldırganın bir yayıncı hesabını ele geçirdiği ve bu hesap üzerinden kirletilmiş güncellemeler gönderdiği belirtildi.
Etkilenen Sistemler
Yeni güvenlik prosedürü, Open VSX Registry üzerinde etkilenen tüm VS Code uzantılarını kapsamaktadır. Ekleme işlemleri sırasında aşağıdaki senaryoların değerlendirileceği ve şüpheli yüklemelerin incelenmek üzere karantinaya alınacağı belirtilmiştir:
- Açıkça tanımlanmış uzantı adı veya isim alanı taklidi durumları
- Yanlışlıkla yayımlanan kimlik bilgileri veya gizli bilgiler
- Bilinen kötü niyetli kalıplar
Microsoft’un Visual Studio Marketplace için benzer bir çok aşamalı denetim süreci mevcut durumda. Bu süreç, gelen paketlerin kötü amaçlı yazılım taramasını içerirken, yeni yayımlanan paketlerin de “kısa süre içerisinde” yeniden taranmasını sağlar.
Çözüm ve Korunma
Eclipse Foundation, uzantı doğrulama programını kademeli olarak uygulamayı planlamaktadır. Şubat 2026 boyunca yeni yayımlanan uzantıları izleyerek sistemin inceliklerini geliştirecek, yanlış pozitifleri azaltacak ve geri bildirimleri iyileştirecektir. Uygulama şubat ayının ardından başlayacaktır.
Christopher Guindon, “Amaç, güvenlik seviyesini yükseltmek, yayıncıların sorunları erken yakalamasına yardımcı olmak ve güvenilir yayıncılar için deneyimi öngörülebilir ve adil kılmaktır” dedi.
Aksiyon
Geliştiricilerin, Open VSX Registry üzerinde güvenlik seviyelerini artırmak için kendi eklentilerini gözden geçirmeleri, yeni güncellemeleri izlemeleri ve şüpheli durumlarda gerekli tedbirleri almaları önerilmektedir. Ayrıca, tüm uzantılarınızı ve bağlı olduğunuz platformları güncel tutmak için düzenli olarak güncellemeleri takip etmeniz önemlidir.
