CRITICAL🇬🇧 English

CVE-2026-28353

Skompromitowane rozszerzenie Trivy dla VS Code — kradzież danych

CVSS 10.0v4.0pub. 2026-03-05upd. 2026-04-28

Wersja 1.8.12 rozszerzenia Trivy Vulnerability Scanner dla VS Code, dystrybuowana przez marketplace OpenVSX, zawierała złośliwy kod. Kod ten był zaprojektowany w celu wykradania wrażliwych informacji przy wykorzystaniu lokalnego agenta AI.

Pokaż oryginał (EN)

Trivy Vulnerability Scanner is a VS Code extension that helps find vulnerabilities. In Trivy VSCode Extension version 1.8.12, which was distributed via OpenVSX marketplace was compromised and contained malicious code designed to leverage local AI coding agent to collect and exfiltrate sensitive information. Users using the affected artifact are advised to immediately remove it and rotate environment secrets. The malicious artifact has been removed from the marketplace. No other affected artifacts have been identified.

🤖 Analiza AI
Jak działa

Rozszerzenie Trivy w wersji 1.8.12 zostało skompromitowane i zawierało osadzony złośliwy kod (CWE-506: Embedded Malicious Code). Złośliwy kod wykorzystywał lokalnego agenta AI do kodowania w celu zebrania i eksfiltracji wrażliwych danych, takich jak sekrety środowiskowe, z maszyny użytkownika. Skompromitowany pakiet był dostępny za pośrednictwem marketplace OpenVSX.

Skutki

Atakujący mógł uzyskać dostęp do wrażliwych informacji przechowywanych w środowisku użytkownika, w tym sekretów i danych uwierzytelniających, a następnie dokonać ich eksfiltracji na zewnętrzny serwer.

Mitygacja

Należy natychmiast usunąć skompromitowane rozszerzenie w wersji 1.8.12. Ponadto wymagana jest niezwłoczna rotacja wszystkich sekretów środowiskowych i danych uwierzytelniających dostępnych na maszynach, na których zainstalowano podatną wersję. Złośliwy artefakt został usunięty z marketplace OpenVSX. Należy pobrać bezpieczną wersję rozszerzenia zgodnie z referencjami producenta.

Kogo dotyczy

Trivy Vulnerability Scanner (rozszerzenie VS Code) w wersji 1.8.12, dystrybuowanej przez marketplace OpenVSX

Uwagi

Producent (Aqua Security) potwierdził, że żadne inne artefakty poza wersją 1.8.12 na OpenVSX nie zostały zidentyfikowane jako skompromitowane. Złośliwy pakiet został już usunięty z marketplace.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje