Open VSX Registry关键漏洞使攻击者可完全控制Visual Studio Code扩展市场

网络安全研究人员近日披露了 Open VSX Registry（"open-vsx[.]org"）中存在的一个关键漏洞。若被成功利用，攻击者可能完全控制整个 Visual Studio Code 扩展市场，造成严重的供应链风险。

漏洞详情与潜在影响

Koi Security 研究员 Oren Yomtov 表示："该漏洞使攻击者能够完全控制整个扩展市场，进而控制数百万开发者的设备。通过利用持续集成（CI）问题，恶意行为者可以向 Open VSX 上的每个扩展推送恶意更新。"

该漏洞于 2025 年 5 月 4 日被负责任地披露后，维护者提出了多轮修复方案，最终于 6 月 25 日完成部署。

Open VSX Registry 是 Visual Studio Marketplace 的开源替代方案，由 Eclipse 基金会维护。Cursor、Windsurf、Google Cloud Shell Editor、Gitpod 等代码编辑器都将其集成到服务中。

Yomtov 指出："这种广泛采用意味着 Open VSX 一旦被攻陷，将引发供应链噩梦。每次安装扩展或在后台静默获取扩展更新时，这些操作都会经过 Open VSX。"

技术原理分析

Koi Security 发现的漏洞源于 publish-extensions 代码库，该库包含将开源 VS Code 扩展发布到 open-vsx.org 的脚本。开发者可通过提交拉取请求将其扩展添加到代码库的 extensions.json 文件中，经批准后即可实现自动发布。

后端处理采用 GitHub Actions 工作流，每天 UTC 时间 03:03 运行，从 JSON 文件中读取逗号分隔的扩展列表，并使用 vsce npm