Open VSX Putar Akses Token Setelah Serangan Supply Chain Malware “GlassWorm”

Open VSX, registri ekstensi open-source untuk editor VS Code, baru saja melakukan rotasi akses token setelah ditemukan kebocoran kredensial pengembang di repositori publik yang memungkinkan penyerang mengunggah ekstensi berbahaya dalam serangan supply chain.

Penemuan ini pertama kali dilaporkan oleh peneliti keamanan dari Wiz dua minggu lalu, setelah mereka menemukan lebih dari 550 token dan rahasia yang terekspos di marketplace ekstensi milik Microsoft VSCode dan Open VSX. Sebagian dari token tersebut diketahui dapat memberikan akses ke proyek dengan lebih dari 150.000 unduhan, sehingga membuka peluang bagi pelaku untuk mempublikasikan versi ekstensi berisi malware.

Serangan “GlassWorm” dan Tujuan Finansial

Beberapa token yang bocor kemudian digunakan dalam kampanye malware yang disebut “GlassWorm.”
Menurut laporan Koi Security, malware ini menggunakan karakter Unicode tak terlihat untuk menyembunyikan payload berbahaya. Tujuannya adalah mencuri kredensial pengembang dan memicu penyebaran ke proyek lain yang terhubung, termasuk menargetkan data dompet kripto dari 49 ekstensi — indikasi kuat bahwa motivasi utama pelaku adalah keuntungan finansial.

Namun, tim Open VSX dan Eclipse Foundation mengklarifikasi dalam blog resmi bahwa malware tersebut tidak bersifat self-replicating, meskipun memang menargetkan kredensial pengembang.

“Malware ini dirancang untuk mencuri kredensial pengembang yang dapat digunakan untuk memperluas jangkauan serangan, tetapi tidak menyebar otomatis ke sistem atau perangkat pengguna,” jelas tim Open VSX.

Mereka juga menambahkan bahwa laporan unduhan sebanyak 35.800 kali kemungkinan tidak mencerminkan jumlah pengguna sebenarnya, karena terdapat aktivitas bot dan manipulasi visibilitas yang dilakukan oleh pelaku ancaman.

Respons Cepat dan Penguatan Keamanan

Seluruh ekstensi berbahaya telah dihapus dari registri Open VSX pada 21 Oktober 2025, dan semua token terkait telah diputar ulang atau dicabut. Open VSX menegaskan bahwa insiden kini sepenuhnya terkendali dan tidak ada dampak berkelanjutan.

Untuk mencegah kejadian serupa, mereka mengumumkan beberapa langkah pengamanan baru:

• 🔒 Memperpendek masa aktif token untuk meminimalkan dampak kebocoran.
• ⚡ Mempercepat proses pencabutan token yang terdeteksi bocor.
• 🧠 Menjalankan pemindaian keamanan otomatis untuk setiap ekstensi baru yang diunggah.
• 🤝 Berbagi intelijen ancaman dengan VS Code dan marketplace lain dalam ekosistem open-source.

Ancaman Berlanjut ke GitHub

Sementara itu, tim Aikido Security melaporkan bahwa kelompok yang sama di balik GlassWorm kini berpindah ke GitHub, menggunakan teknik steganografi Unicode yang sama untuk menyembunyikan muatan berbahaya di repositori, terutama pada proyek JavaScript.
Hal ini menunjukkan bahwa operasi tersebut masih aktif dan dengan cepat beradaptasi untuk menargetkan ekosistem open-source lain setelah terbongkar.

Sumber: BleepingComputer