Die Eclipse Foundation hat ihren jüngsten Sicherheitsvorfall rund um Open VSX – den Open-Source-Marktplatz für VS-Code-Erweiterungen – aufgearbeitet. In den vergangenen Wochen war bekannt geworden, dass Zugangstokens versehentlich in öffentlichen Repositories gelandet waren. Ein Teil davon wurde missbraucht, um manipulierte Erweiterungen einzuschleusen.
Wie die Stiftung mitteilt, hatte das Cloud‑Sicherheitsunternehmen Wiz mehrere offengelegte Tokens gemeldet, die von Entwicklern unbeabsichtigt veröffentlicht worden waren. Einige davon betrafen Konten auf Open VSX. Die Token wurden unmittelbar nach Bekanntwerden gesperrt. Ein Hack der Infrastruktur habe zu keinem Zeitpunkt stattgefunden – der Vorfall sei allein auf menschliche Fehler zurückzuführen.
Um ähnliche Probleme künftig schneller zu erkennen, führte das Team in Abstimmung mit Microsofts Security Response Center ein neues Präfix‑Format für Tokens ein, das automatisierte Scans erleichtert.
Zeitgleich meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle mit dem Namen "GlassWorm". Sie nutzte einige der geleakten Tokens, um bösartige Open‑VSX‑Erweiterungen zu veröffentlichen. Dabei handelte es sich jedoch laut Eclipse Foundation nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um Schadcode, der gezielt Entwickleranmeldedaten stahl.
Alle betroffenen Erweiterungen wurden umgehend entfernt, und sämtliche kompromittierten Tokens widerrufen. Die Berichte über rund 35.800 Downloads seien laut Eclipse übertrieben, da viele Abrufe von Bots oder durch Sichtbarkeits-Tricks erzeugt worden seien.
Die Foundation erklärt nun, der Vorfall sei seit dem 21. Oktober 2025 offiziell abgeschlossen. Es gebe keine Hinweise auf weiterhin aktive oder schadhafte Erweiterungen. Das Team arbeite jedoch weiter mit Sicherheitsforschern und Projektpartnern zusammen, um Transparenz und Schutzmaßnahmen zu verbessern.
In Zukunft setzt die Eclipse Foundation auf mehrere strukturelle Änderungen: Tokens sollen kürzere Lebensdauern erhalten und sich einfacher sperren lassen. Außerdem wird bei jeder Veröffentlichung ein automatischer Sicherheitscheck durchgeführt, um Schadcode oder versehentlich veröffentlichte Secrets frühzeitig zu entdecken.
Zudem strebt Open VSX stärkere Vernetzung mit anderen Marktplatzbetreibern an, darunter das VS‑Code‑Ökosystem. Die gemeinsame Auswertung von Bedrohungen und Best Practices soll das Risiko ähnlicher Vorfälle senken.
Die Foundation nutzt den Abschlussbericht auch als Appell an die Entwicklergemeinschaft: Sicherheit in der Lieferkette sei eine geteilte Aufgabe. Wer Tokens nutzt, müsse sie sorgsam schützen. Die Plattformbetreiber wiederum hätten die Pflicht, Werkzeuge und Prozesse bereitzustellen, die Missbrauch verhindern.
Mit den nun gestarteten Maßnahmen will Open VSX seine Widerstandskraft stärken – damit die offene Entwicklergemeinschaft auch künftig sicher zusammenarbeiten kann.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare