Wersja 1.8.12 rozszerzenia Trivy Vulnerability Scanner dla VS Code, dystrybuowana przez marketplace OpenVSX, zawierała złośliwy kod. Kod ten był zaprojektowany w celu wykradania wrażliwych informacji przy wykorzystaniu lokalnego agenta AI.
▸ Pokaż oryginał (EN)
Trivy Vulnerability Scanner is a VS Code extension that helps find vulnerabilities. In Trivy VSCode Extension version 1.8.12, which was distributed via OpenVSX marketplace was compromised and contained malicious code designed to leverage local AI coding agent to collect and exfiltrate sensitive information. Users using the affected artifact are advised to immediately remove it and rotate environment secrets. The malicious artifact has been removed from the marketplace. No other affected artifacts have been identified.
Rozszerzenie Trivy w wersji 1.8.12 zostało skompromitowane i zawierało osadzony złośliwy kod (CWE-506: Embedded Malicious Code). Złośliwy kod wykorzystywał lokalnego agenta AI do kodowania w celu zebrania i eksfiltracji wrażliwych danych, takich jak sekrety środowiskowe, z maszyny użytkownika. Skompromitowany pakiet był dostępny za pośrednictwem marketplace OpenVSX.
Atakujący mógł uzyskać dostęp do wrażliwych informacji przechowywanych w środowisku użytkownika, w tym sekretów i danych uwierzytelniających, a następnie dokonać ich eksfiltracji na zewnętrzny serwer.
Należy natychmiast usunąć skompromitowane rozszerzenie w wersji 1.8.12. Ponadto wymagana jest niezwłoczna rotacja wszystkich sekretów środowiskowych i danych uwierzytelniających dostępnych na maszynach, na których zainstalowano podatną wersję. Złośliwy artefakt został usunięty z marketplace OpenVSX. Należy pobrać bezpieczną wersję rozszerzenia zgodnie z referencjami producenta.
Trivy Vulnerability Scanner (rozszerzenie VS Code) w wersji 1.8.12, dystrybuowanej przez marketplace OpenVSX
Producent (Aqua Security) potwierdził, że żadne inne artefakty poza wersją 1.8.12 na OpenVSX nie zostały zidentyfikowane jako skompromitowane. Złośliwy pakiet został już usunięty z marketplace.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X