CyberThao
Writer
Một lỗ hổng nghiêm trọng trong hệ thống Open VSX Registry (trang open-vsx[.]org) vừa được các chuyên gia bảo mật phát hiện, có thể cho phép kẻ tấn công kiểm soát toàn bộ thị trường tiện ích mở rộng của Visual Studio Code (VS Code), từ đó gây ra nguy cơ lớn trong chuỗi cung ứng phần mềm.
Lỗ hổng cho phép kiểm soát toàn bộ kho tiện ích mở rộng
Theo nhà nghiên cứu Oren Yomtov từ Koi Security, lỗ hổng này cho phép kẻ xấu chiếm toàn quyền kiểm soát hệ thống tiện ích mở rộng, đồng nghĩa với việc có thể can thiệp vào hàng triệu máy tính của lập trình viên trên toàn cầu.
Cụ thể, vấn đề nằm trong kho publish-extensions – nơi chứa các script phục vụ việc xuất bản các tiện ích VS Code mã nguồn mở lên trang open-vsx.org. Các lập trình viên có thể gửi yêu cầu tự động đăng tiện ích bằng cách thêm chúng vào tệp extensions.json. Sau khi được phê duyệt và gộp, tiện ích sẽ được xuất bản tự động thông qua quy trình GitHub Actions chạy hàng ngày vào 03:03 sáng theo giờ UTC.
Trong quá trình này, hệ thống sử dụng một token bí mật có tên OVSX_PAT – đại diện cho tài khoản @open-vsx – để đăng hoặc ghi đè lên bất kỳ tiện ích nào trong hệ thống. Token này lẽ ra chỉ nên được truy cập bởi mã nguồn đáng tin cậy.
Tuy nhiên, lỗ hổng nằm ở chỗ: khi chạy lệnh npm install, hệ thống sẽ thực thi tất cả các script xây dựng của tiện ích và các gói phụ thuộc, đồng thời cho phép chúng truy cập biến môi trường OVSX_PAT. Điều này mở ra khả năng đánh cắp token và từ đó, chiếm quyền kiểm soát toàn bộ hệ thống tiện ích.
Rủi ro chuỗi cung ứng ngày càng lớn
Open VSX Registry là một dự án mã nguồn mở được duy trì bởi Eclipse Foundation, đóng vai trò như một giải pháp thay thế cho Visual Studio Marketplace. Các trình chỉnh sửa mã như Cursor, Windsurf, Google Cloud Shell Editor, Gitpod... đều tích hợp Open VSX vào dịch vụ của họ. Việc hàng triệu lập trình viên sử dụng hệ thống này khiến bất kỳ rủi ro nào cũng trở thành thảm họa chuỗi cung ứng.
Mỗi lần tiện ích được cài đặt, hoặc được cập nhật âm thầm trong nền, quá trình đều đi qua Open VSX. Do đó, nếu lỗ hổng bị khai thác, kẻ tấn công có thể đưa mã độc vào bất kỳ tiện ích nào và âm thầm lây lan tới hàng triệu máy lập trình viên.
MITRE – tổ chức hàng đầu trong nghiên cứu an ninh mạng – cũng đã công nhận mối nguy này bằng cách bổ sung kỹ thuật “IDE Extensions” vào khung ATT&CK vào tháng 4/2025. Kỹ thuật này mô tả việc các tiện ích có thể bị lợi dụng để duy trì truy cập lâu dài vào hệ thống nạn nhân.
Oren Yomtov cảnh báo: “Mỗi tiện ích trên marketplace đều có thể là một cửa hậu. Chúng là các phụ thuộc phần mềm chưa được kiểm duyệt nhưng có quyền truy cập cao, và cần được xem xét nghiêm túc như bất kỳ gói mã nguồn nào từ PyPI, npm, Huggingface hay GitHub.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/critical-open-vsx-registry-flaw-exposes.html
Lỗ hổng cho phép kiểm soát toàn bộ kho tiện ích mở rộng
Theo nhà nghiên cứu Oren Yomtov từ Koi Security, lỗ hổng này cho phép kẻ xấu chiếm toàn quyền kiểm soát hệ thống tiện ích mở rộng, đồng nghĩa với việc có thể can thiệp vào hàng triệu máy tính của lập trình viên trên toàn cầu.
Cụ thể, vấn đề nằm trong kho publish-extensions – nơi chứa các script phục vụ việc xuất bản các tiện ích VS Code mã nguồn mở lên trang open-vsx.org. Các lập trình viên có thể gửi yêu cầu tự động đăng tiện ích bằng cách thêm chúng vào tệp extensions.json. Sau khi được phê duyệt và gộp, tiện ích sẽ được xuất bản tự động thông qua quy trình GitHub Actions chạy hàng ngày vào 03:03 sáng theo giờ UTC.
Trong quá trình này, hệ thống sử dụng một token bí mật có tên OVSX_PAT – đại diện cho tài khoản @open-vsx – để đăng hoặc ghi đè lên bất kỳ tiện ích nào trong hệ thống. Token này lẽ ra chỉ nên được truy cập bởi mã nguồn đáng tin cậy.
Tuy nhiên, lỗ hổng nằm ở chỗ: khi chạy lệnh npm install, hệ thống sẽ thực thi tất cả các script xây dựng của tiện ích và các gói phụ thuộc, đồng thời cho phép chúng truy cập biến môi trường OVSX_PAT. Điều này mở ra khả năng đánh cắp token và từ đó, chiếm quyền kiểm soát toàn bộ hệ thống tiện ích.
Rủi ro chuỗi cung ứng ngày càng lớn
Open VSX Registry là một dự án mã nguồn mở được duy trì bởi Eclipse Foundation, đóng vai trò như một giải pháp thay thế cho Visual Studio Marketplace. Các trình chỉnh sửa mã như Cursor, Windsurf, Google Cloud Shell Editor, Gitpod... đều tích hợp Open VSX vào dịch vụ của họ. Việc hàng triệu lập trình viên sử dụng hệ thống này khiến bất kỳ rủi ro nào cũng trở thành thảm họa chuỗi cung ứng.
Mỗi lần tiện ích được cài đặt, hoặc được cập nhật âm thầm trong nền, quá trình đều đi qua Open VSX. Do đó, nếu lỗ hổng bị khai thác, kẻ tấn công có thể đưa mã độc vào bất kỳ tiện ích nào và âm thầm lây lan tới hàng triệu máy lập trình viên.
MITRE – tổ chức hàng đầu trong nghiên cứu an ninh mạng – cũng đã công nhận mối nguy này bằng cách bổ sung kỹ thuật “IDE Extensions” vào khung ATT&CK vào tháng 4/2025. Kỹ thuật này mô tả việc các tiện ích có thể bị lợi dụng để duy trì truy cập lâu dài vào hệ thống nạn nhân.
Oren Yomtov cảnh báo: “Mỗi tiện ích trên marketplace đều có thể là một cửa hậu. Chúng là các phụ thuộc phần mềm chưa được kiểm duyệt nhưng có quyền truy cập cao, và cần được xem xét nghiêm túc như bất kỳ gói mã nguồn nào từ PyPI, npm, Huggingface hay GitHub.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/critical-open-vsx-registry-flaw-exposes.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview