« Tüm yayınlar

Cursor ve OpenVSX'te uzantı ele geçirme tehlikesi

Trendyol güvenlik ekibi, Cursor, VSCodium ve Windsurf gibi VS Code türevlerinde OpenVSX üzerinden yürütülen namespace squatting saldırısını ortaya çıkardı.

Trendyol'un siber güvenlik ve uygulama güvenliği ekipleri, Cursor ve OpenVSX tabanlı diğer VS Code türevlerinde ciddi bir tedarik zinciri açığı tespit etti. Microsoft Marketplace ile OpenVSX'in ayrı güven kökleri olması, saldırganların terk edilmiş veya hiç sahiplenilmemiş publisher.extension isimlerini OpenVSX'te kayıt altına alarak kötü amaçlı kod dağıtmasına olanak tanıyor. Bu, npm ekosisteminde 2021'de görülen dependency confusion sorununun IDE eklenti katmanına taşınmış hali.

Ekip, 129.000 Marketplace uzantısını 14.194 OpenVSX uzantısıyla birebir karşılaştırdı. Sonuçlar çarpıcı: 104.456 uzantının OpenVSX'te hiç karşılığı yok ve bu isimler serbest kalmış durumda; 1.078 uzantı farklı bir yayıncıya kayıtlı; 924 uzantı aynı isme sahip ama farklı bir GitHub deposundan geliyor; 126 uzantı ise tam kimlik ele geçirme örneği olup sumneko.lua, rust-lang.rust gibi milyonlarca kurulumu olan popüler paketleri de kapsıyor. Araştırma, Cursor'da bir eklentinin süreç ağacını izlemek için CURSOR_SPAWNED_BY_EXTENSION_ID gibi ortam değişkenlerinin nasıl kullanılabileceğini de gösteriyor.

Bulgular, kurumların bu ay içinde organizasyon genelinde uzantı allowlist'i uygulamasını, otomatik güncellemelere bir bekleme süresi eklemesini ve yazıda paylaşılan tespit mantığını devreye almasını öneriyor. GlassWorm gibi son dönemde ortaya çıkan gerçek saldırı kampanyaları, bu saldırı yüzeyinin teorik olmadığını, aktif şekilde istismar edildiğini gösteriyor.

» KaynakTrendyol Tech