資安公司 Koi Security 的研究員發現了一個名為 VSXPloit 的嚴重零時差漏洞,此漏洞存在於 OpenVSX 市集中。OpenVSX 是許多 AI 程式碼編輯器(如 Cursor、Windsurf)與 VS Code 分支版本賴以運作的擴充套件市集。
* 攻擊手法:攻擊者可提交一個看似無害的擴充套件發布請求,利用 OpenVSX 的自動化 nightly build 流程,在建置過程中執行惡意程式碼,進而竊取一個擁有整個市集最高管理權限的 secret token。
* 潛在衝擊:
* 一旦竊取成功,攻擊者能完全控制 OpenVSX 市集,可冒充任何發行者(例如 Microsoft 的 Python 官方套件)發布惡意更新。
* 開發者的編輯器會自動更新擴充套件,在無聲無息中安裝惡意程式碼,導致開發機器被完全接管,面臨原始碼、SSH 金鑰、加密錢包遭竊等風險。
* 此漏洞影響範圍可能超過千萬名開發者,被形容為「開發者工具界的 SolarWinds 事件」。
https://www.bleepingcomputer.com/news/security/the-zero-day-that-couldve-compromised-every-cursor-and-windsurf-user/
The zero-day that could've compromised every Cursor and Windsurf user
Learn how one overlooked flaw in OpenVSX discovered by Koi Secureity could've let attackers hijack millions of dev machines via an extension supply chain attack. The zero-day threat's been patched—but the wake-up call is clear: extensions are a new, massive supply chain risk.
