Siber Güvenlik, Yazılım Güvenliği

Eclipse Foundation, Open VSX Token Sızıntısı Sonrası Güvenlik Önlemlerini Güçlendirdi

Ekim 31, 2025Ekim 31, 2025Tarafından Cybernews.TR
37
Eclipse Foundation, Open VSX Token Sızıntısı Sonrası Güvenlik Önlemlerini Güçlendirdi

Eclipse Foundation, bu ayın başında bulut güvenlik firması Wiz tarafından ortaya çıkarılan Open VSX token sızıntısı sonrası kritik güvenlik adımları attı. Wiz’in raporu, Microsoft’un VS Code Marketplace ve Open VSX platformlarındaki bazı uzantıların erişim tokenlarının yanlışlıkla açık kaynak kodlu depolarda ifşa edildiğini ortaya koydu. Bu durum, saldırganların uzantıların kontrolünü ele geçirip kötü amaçlı yazılım yaymasına olanak tanıyarak tedarik zinciri saldırılarına zemin hazırlıyordu.

Sızıntının Kaynağı ve Etkileri

Eclipse Foundation güvenlik sorumlusu Mikaël Barbero, sızıntının Open VSX altyapısından değil, geliştiricilerin hatalarından kaynaklandığını belirtti. Sızdırılan tokenlar, uzantıların yayımlanması veya değiştirilmesi için kötüye kullanılabiliyordu. Bu nedenle, tokenların ömür sınırlarının varsayılan olarak kısaltılması ve iptal süreçlerinin hızlandırılması gibi önlemler devreye alındı.

Open VSX ve Microsoft İş Birliği

Open VSX, Microsoft Güvenlik Müdahale Merkezi (MSRC) ile birlikte, açık kaynaklı depolarda token sızıntılarını tespit etmeyi kolaylaştırmak için “ovsxp_” ön ekini tanıttı. Bu, otomatik tarama araçlarının tokenları daha etkin bulup iptal etmesini sağlıyor. Ayrıca, uzantılar yayınlanmadan önce kötü amaçlı kod kalıpları ve gömülü gizli bilgiler açısından otomatik analizden geçiriliyor.

GlassWorm Kampanyası ve Kötü Amaçlı Yazılım Tehdidi

Koi Security tarafından tespit edilen “GlassWorm” adlı kötü amaçlı yazılım kampanyası kapsamında, etkilenen tüm uzantılar tespit edilip kaldırıldı. Bu kötü amaçlı yazılımın, önce geliştirici kimlik bilgilerini çalması gerektiği için klasik “kendi kendini çoğaltan solucan” türünde olmadığı vurgulandı. Barbero, bildirilen 35.800 indirme sayısının botlar ve görünürlük artırma taktikleri nedeniyle gerçek kullanıcı sayısını abartabileceğini ifade etti.

Teknik Derinlik ve Siber Dayanıklılık

Bu olay, yazılım tedarik zincirinde güvenliğin ne denli kritik olduğunu gösteriyor. Özellikle, token yönetiminde MCP istemcisi gibi gelişmiş kimlik doğrulama araçlarının kullanılması, Pydantic AI tabanlı otomatik analizlerin entegrasyonu ve AsyncRAT benzeri uzaktan erişim tehditlerine karşı konteynerlerin rastgele SSH portları üzerinden izole edilmesi gibi teknik önlemler gündeme geliyor. Bu sayede, tedarik zinciri saldırılarının önüne geçilmesi ve ekosistemin siber dayanıklılığının artırılması hedefleniyor.

Barbero, “Tedarik zinciri güvenliği, sadece yayıncıların tokenlarını dikkatle yönetmesiyle değil, aynı zamanda kayıt defteri yöneticilerinin gelişmiş tespit ve müdahale yetenekleriyle sağlanabilir” diyerek, iş birliğinin önemine dikkat çekti.

, , , , , , ,