{"id":14855,"date":"2025-10-31T14:12:11","date_gmt":"2025-10-31T14:12:11","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/10\/31\/sicherheitsvorfall-bei-open-vsx-zugangstokens-missbraucht-massnahmen-zur-praevention-ergriffen\/"},"modified":"2025-10-31T14:12:11","modified_gmt":"2025-10-31T14:12:11","slug":"sicherheitsvorfall-bei-open-vsx-zugangstokens-missbraucht-massnahmen-zur-praevention-ergriffen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14855","title":{"rendered":"Sicherheitsvorfall bei Open VSX: Zugangstokens missbraucht, Ma\u00dfnahmen zur Pr\u00e4vention ergriffen"},"content":{"rendered":"<p>Die Eclipse Foundation hat k\u00fcrzlich einen Sicherheitsvorfall rund um Open VSX, den offenen Marktplatz f\u00fcr Erweiterungen des Code-Editors VS Code, \u00f6ffentlich aufgearbeitet. Der Vorfall betraf die versehentliche Ver\u00f6ffentlichung von Zugangstokens in \u00f6ffentlichen Repositories. Diese wurden daraufhin missbraucht, um manipulierte Erweiterungen auf Open VSX einzuschleusen. Wie die Stiftung mitteilt, hatte das Sicherheitsunternehmen Wiz mehrere derartige Tokens gemeldet, die unbeabsichtigt durch Entwickler ver\u00f6ffentlicht worden waren. Einige davon bezogen sich auf Konten auf Open VSX und wurden unmittelbar nach Bekanntwerden gesperrt. Es gab jedoch keinen Hack der Infrastruktur; der Vorfall war allein auf menschliche Fehler zur\u00fcckzuf\u00fchren. Um zuk\u00fcnftige Vorkommnisse schneller zu erkennen, implementierte das Team in enger Zusammenarbeit mit Microsofts Security Response Center ein neues Pr\u00e4fix-Format f\u00fcr Tokens, das automatisierte Scans erleichtert. <\/p>\n<p>Parallel dazu meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle namens GlassWorm. Diese Welle nutzte einige der zuvor geleakten Tokens, um sch\u00e4dliche Open VSX-Erweiterungen zu ver\u00f6ffentlichen. Dabei handelte es sich laut Eclipse Foundation jedoch nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um gezielt eingesetzten Schadcode, der Entwickleranmeldedaten stehlen sollte. Alle betroffenen Erweiterungen wurden umgehend entfernt, und die kompromittierten Tokens wurden widerrufen. Die Berichte \u00fcber rund 35.800 Downloads dieser sch\u00e4dlichen Erweiterungen werden von der Foundation als \u00fcbertrieben eingestuft, da viele Abrufe durch Bots oder Sichtbarkeits-Tricks erzeugt wurden.<\/p>\n<p>Am 21. Oktober 2025 wurde der Vorfall offiziell f\u00fcr abgeschlossen erkl\u00e4rt. Es gibt keine Hinweise auf weiterhin aktive oder schadhafte Erweiterungen. Dennoch arbeitet das Team weiterhin mit Sicherheitsforschern und dem VS Code-\u00d6kosystem, um zuk\u00fcnftige Risiken zu minimieren. Geplante Ma\u00dfnahmen umfassen k\u00fcrzere Lebensdauern f\u00fcr Tokens, vereinfachte Sperrmechanismen und automatische Sicherheitschecks bei jeder Ver\u00f6ffentlichung, um fr\u00fchzeitig Schadcode oder versehentlich ver\u00f6ffentlichte Secrets zu erkennen. Dar\u00fcber hinaus strebt Open VSX eine st\u00e4rkere Vernetzung mit anderen Marktplatzbetreibern an, um Bedrohungen gemeinsam auszuwerten und Best Practices im Bereich der Sicherheitsrichtlinien zu etablieren. Durch diese Ma\u00dfnahmen soll das Risiko \u00e4hnlicher Vorf\u00e4lle in Zukunft nachhaltig reduziert werden.<\/p>\n<p>Schlagw\u00f6rter: VS + Tokens + Wiz<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Eclipse Foundation hat k\u00fcrzlich einen Sicherheitsvorfall rund um Open VSX, den offenen Marktplatz f\u00fcr Erweiterungen des Code-Editors VS Code, \u00f6ffentlich aufgearbeitet. Der Vorfall betraf die versehentliche Ver\u00f6ffentlichung von Zugangstokens in \u00f6ffentlichen Repositories. Diese wurden daraufhin missbraucht, um manipulierte Erweiterungen auf Open VSX einzuschleusen. Wie die Stiftung mitteilt, hatte das&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":14854,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14855"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14855\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14854"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}