Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli IDE più diffusi con assistenti AI come Cursor, Windsurf, Google Antigravity e Trae si sono dimostrati vulnerabili agli attacchi alla supply chain. Consigliano agli utenti di installare estensioni non elencate nella directory OpenVSX. Il problema è che chiunque può impossessarsi di questi nomi vuoti caricando un’estensione dannosa con un marchio affidabile.
Questi ambienti di sviluppo sono basati su un fork di Microsoft VSCode, ma la loro licenza impedisce loro di utilizzare lo store ufficiale delle estensioni di Visual Studio Marketplace. Pertanto, si affidano a OpenVSX, un’alternativa open source per le estensioni compatibili.
È qui che entra in gioco l’eredità di VSCode. Questi IDE sono configurati con un elenco preinstallato di estensioni ufficialmente consigliate, progettato per Microsoft Marketplace, non per OpenVSX.
Le raccomandazioni vengono visualizzate in due modi. Il primo è relativo ai file. Ad esempio, se uno sviluppatore apre azure-pipelines.yaml, l’IDE suggerisce di installare l’estensione Azure Pipelines. La seconda opzione dipende dall’ambiente. Se il programma rileva che PostgreSQL è installato sul sistema, potrebbe richiedere allo sviluppatore di installare l’estensione per lavorare con quel database.
Come sottolineano gli specialisti di Koi, non tutte le estensioni presenti nell’elenco consigliato esistono effettivamente in OpenVSX. Ciò significa che i corrispondenti namespace dei publisher nel registro potrebbero essere inutilizzati. Secondo gli specialisti, un aggressore potrebbe sfruttare l’affidabilità dei prompt dell’IDE. Basta registrare un nome inutilizzato e caricarvi un’estensione dannosa. All’utente, sembrerebbe un suggerimento logico e familiare proveniente dall’ambiente di sviluppo stesso.
Il problema è stato segnalato da Google, Windsurf e Cursor a fine novembre 2025. Cursor avrebbe corretto la vulnerabilità il 1° dicembre. Google ha rimosso 13 avvisi il 26 dicembre e ha contrassegnato il problema come risolto il 1° gennaio. Windsurf non ha fornito feedback ai ricercatori di Koi in merito al problema.
Per mitigare il rischio di exploit, il team di Koi ha assegnato diversi namespace potenzialmente pericolosi e li ha caricati con stub che non fanno altro che bloccare lo spoofing. Questi identificatori di estensione includono: ms-ossdata.vscode-postgresql, ms-azure-devops.azure-pipelines, msazurermtools.azurerm-vscode-tools, usqlextpublisher.usql-vscode-ext, cake-build.cake-vscode e pkosta2005.heroku-command.
I ricercatori hanno anche collaborato con la Eclipse Foundation, che gestisce OpenVSX, per rivedere i restanti namespace sopra menzionati, rimuovere i contributori non ufficiali e implementare misure di sicurezza più ampie a livello di registro.
Al momento non ci sono indicazioni che questa lacuna sia stata sfruttata dagli aggressori prima che i ricercatori la scoprissero e intervenissero. Tuttavia, si consiglia agli utenti di IDE basati su fork di VSCode di essere cauti nel valutare le estensioni consigliate. È consigliabile aprire manualmente la pagina dell’estensione in OpenVSX e verificarne l’autore e l’affidabilità.
