Sicherheitsvorfall bei Open VSX: Zugangstokens missbraucht, Maßnahmen zur Prävention ergriffen

Die Eclipse Foundation hat kürzlich einen Sicherheitsvorfall rund um Open VSX, den offenen Marktplatz für Erweiterungen des Code-Editors VS Code, öffentlich aufgearbeitet. Der Vorfall betraf die versehentliche Veröffentlichung von Zugangstokens in öffentlichen Repositories. Diese wurden daraufhin missbraucht, um manipulierte Erweiterungen auf Open VSX einzuschleusen. Wie die Stiftung mitteilt, hatte das Sicherheitsunternehmen Wiz mehrere derartige Tokens gemeldet, die unbeabsichtigt durch Entwickler veröffentlicht worden waren. Einige davon bezogen sich auf Konten auf Open VSX und wurden unmittelbar nach Bekanntwerden gesperrt. Es gab jedoch keinen Hack der Infrastruktur; der Vorfall war allein auf menschliche Fehler zurückzuführen. Um zukünftige Vorkommnisse schneller zu erkennen, implementierte das Team in enger Zusammenarbeit mit Microsofts Security Response Center ein neues Präfix-Format für Tokens, das automatisierte Scans erleichtert.

Parallel dazu meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle namens GlassWorm. Diese Welle nutzte einige der zuvor geleakten Tokens, um schädliche Open VSX-Erweiterungen zu veröffentlichen. Dabei handelte es sich laut Eclipse Foundation jedoch nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um gezielt eingesetzten Schadcode, der Entwickleranmeldedaten stehlen sollte. Alle betroffenen Erweiterungen wurden umgehend entfernt, und die kompromittierten Tokens wurden widerrufen. Die Berichte über rund 35.800 Downloads dieser schädlichen Erweiterungen werden von der Foundation als übertrieben eingestuft, da viele Abrufe durch Bots oder Sichtbarkeits-Tricks erzeugt wurden.

Am 21. Oktober 2025 wurde der Vorfall offiziell für abgeschlossen erklärt. Es gibt keine Hinweise auf weiterhin aktive oder schadhafte Erweiterungen. Dennoch arbeitet das Team weiterhin mit Sicherheitsforschern und dem VS Code-Ökosystem, um zukünftige Risiken zu minimieren. Geplante Maßnahmen umfassen kürzere Lebensdauern für Tokens, vereinfachte Sperrmechanismen und automatische Sicherheitschecks bei jeder Veröffentlichung, um frühzeitig Schadcode oder versehentlich veröffentlichte Secrets zu erkennen. Darüber hinaus strebt Open VSX eine stärkere Vernetzung mit anderen Marktplatzbetreibern an, um Bedrohungen gemeinsam auszuwerten und Best Practices im Bereich der Sicherheitsrichtlinien zu etablieren. Durch diese Maßnahmen soll das Risiko ähnlicher Vorfälle in Zukunft nachhaltig reduziert werden.

Schlagwörter: VS + Tokens + Wiz

Wie bewerten Sie den Schreibstil des Artikels?