Nền tảng Open VSX và Tổ chức Eclipse Foundation đã xử lý một lỗ hổng bảo mật nghiêm trọng. Sự cố này liên quan đến việc rò rỉ token xác thực và các tiện ích mở rộng độc hại trên chợ ứng dụng mã nguồn mở của họ. Vụ việc này một lần nữa nhấn mạnh tầm quan trọng của an ninh chuỗi cung ứng trong phát triển phần mềm hiện đại.

Hiện tại, tổ chức đã kiểm soát hoàn toàn tình hình và đưa ra các bước cụ thể nhằm ngăn chặn các cuộc tấn công mạng tương tự trong tương lai, đặc biệt là trong bối cảnh các mối đe dọa chuỗi cung ứng ngày càng gia tăng.

Phát Hiện Token Rò Rỉ và Phản Ứng Ban Đầu

Vào đầu tháng, các nhà nghiên cứu bảo mật từ Wiz đã phát hiện một số token dành cho nhà phát triển bị lộ vô tình trong các kho lưu trữ công khai. Các token này cho phép nhà phát triển xuất bản và sửa đổi tiện ích mở rộng trên nền tảng Open VSX Registry.

Open VSX Registry là một chợ ứng dụng cộng đồng phổ biến cho các tiện ích mở rộng VS Code. Tổ chức Eclipse Foundation chịu trách nhiệm vận hành nền tảng này, vốn đóng vai trò quan trọng trong hệ sinh thái phát triển.

Sau khi điều tra, nhóm Open VSX xác nhận rằng một số token bị rò rỉ đã bị xâm phạm và sử dụng với mục đích xấu. Tuy nhiên, tổ chức nhấn mạnh rằng việc lộ token là do lỗi của nhà phát triển, không phải do bất kỳ vi phạm nào trong hạ tầng của Open VSX.

Nhóm đã ngay lập tức thu hồi tất cả các token bị ảnh hưởng để ngăn chặn việc lạm dụng thêm. Đây là bước khẩn cấp đầu tiên để kiểm soát thiệt hại từ sự cố an ninh chuỗi cung ứng này.

Để tăng cường khả năng phát hiện, Open VSX đã hợp tác với Microsoft’s Security Response Center (MSRC). Họ cùng nhau giới thiệu định dạng tiền tố token đặc biệt mới. Định dạng này giúp việc quét các kho lưu trữ công khai và xác định các token bị lộ trở nên dễ dàng hơn đáng kể, trước khi kẻ tấn công có thể khai thác chúng.

Chiến Dịch Mã Độc “GlassWorm” và Tác Động Thực Tế

Cùng thời điểm đó, công ty bảo mật Koi Security đã báo cáo một chiến dịch mã độc mang tên “GlassWorm”. Chiến dịch này đã lợi dụng một số token bị lộ để phát tán các tiện ích mở rộng độc hại trên Open VSX.

Các tiện ích mở rộng này được thiết kế để đánh cắp thông tin đăng nhập của nhà phát triển. Mục tiêu là cho phép kẻ tấn công mở rộng phạm vi xâm nhập và thực hiện các tấn công mạng tiếp theo trong toàn bộ hệ sinh thái phát triển.

Ban đầu, một số báo cáo mô tả “GlassWorm” là một “worm tự lây lan”. Tuy nhiên, Open VSX đã làm rõ rằng mã độc này không tự động sao chép chính nó. Thay vào đó, nó dựa vào việc đánh cắp thông tin đăng nhập để tạo điều kiện cho các cuộc tấn công tiếp theo.

Tổ chức cũng lưu ý rằng số liệu tải xuống được báo cáo là 35.800 có thể đã bị phóng đại so với tác động thực tế. Con số này bao gồm các lượt tải xuống giả mạo được tạo ra bởi bot và các chiến thuật thao túng của các tác nhân đe dọa. Điều này cho thấy việc đánh giá chính xác tác động của các sự cố an ninh chuỗi cung ứng là rất quan trọng.

Cải Thiện An Ninh Chuỗi Cung Ứng và Biện Pháp Dài Hạn

Nhóm Open VSX đã hành động nhanh chóng. Họ gỡ bỏ tất cả các tiện ích mở rộng độc hại đã biết khỏi nền tảng và thu hồi các token liên quan ngay sau khi được thông báo.

Tính đến ngày 21 tháng 10 năm 2025, tổ chức coi sự cố đã được kiểm soát hoàn toàn. Không có bằng chứng về sự xâm phạm đang diễn ra hoặc nội dung độc hại còn sót lại. Điều này thể hiện cam kết của Open VSX trong việc duy trì an ninh chuỗi cung ứng.

Sự cố này đã làm nổi bật tầm quan trọng chiến lược của việc tăng cường an ninh chuỗi cung ứng trong các hệ sinh thái mã nguồn mở. Open VSX đang thực hiện một số cải tiến chính để tăng cường bảo mật nền tảng tổng thể.

Thời gian hiệu lực của token sẽ được rút ngắn theo mặc định. Điều này nhằm giảm thiểu khoảng thời gian cơ hội nếu token bị rò rỉ và bị khai thác. Đây là một biện pháp pro-active quan trọng trong quản lý rủi ro.

Tổ chức cũng đang hợp lý hóa quy trình thu hồi token và bổ sung tính năng quét bảo mật tự động tại thời điểm xuất bản. Mục đích là để phát hiện các mẫu mã độc hại trước khi tiện ích mở rộng đến tay người dùng, đảm bảo chất lượng và an ninh chuỗi cung ứng.

Ngoài ra, Open VSX đang mở rộng hợp tác với các nhà điều hành chợ ứng dụng khác. Việc này nhằm chia sẻ thông tin về mối đe dọa (threat intelligence) và các phương pháp bảo mật tốt nhất trên toàn hệ sinh thái. Sự hợp tác này là chìa khóa để xây dựng một an ninh chuỗi cung ứng vững chắc hơn.

Tổ chức nhấn mạnh rằng an ninh chuỗi cung ứng là trách nhiệm chung giữa các nhà phát triển, người duy trì registry và cộng đồng rộng lớn hơn. Open VSX cam kết duy trì tính minh bạch và xây dựng một môi trường mã nguồn mở kiên cường hơn, nơi sự đổi mới có thể tiếp tục một cách an toàn và bảo mật.

Để tìm hiểu thêm về bản cập nhật bảo mật từ Open VSX, bạn có thể tham khảo bài viết chính thức tại: Eclipse Foundation Blog.