มูลนิธิ Eclipse Foundation ซึ่งดูแล Open VSX Registry ได้ประกาศแผนการบังคับใช้มาตรการตรวจสอบความปลอดภัยก่อนการเผยแพร่ส่วนขยายสำหรับ Microsoft Visual Studio Code (VS Code) สู่คลังโอเพนซอร์ส การเปลี่ยนแปลงนี้เป็นการปรับเปลี่ยนแนวทางจากเดิมที่เน้นการตอบสนองและสอบสวนหลังการเผยแพร่ เป็นแนวทางเชิงรุกเพื่อต่อสู้กับภัยคุกคาม Supply Chain และป้องกันไม่ให้ส่วนขยายที่เป็นอันตรายถูกเผยแพร่สู่สาธารณะ การเคลื่อนไหวนี้เกิดขึ้นเพื่อรับมือกับภัยคุกคามที่เพิ่มขึ้นในแพลตฟอร์มส่วนขยายโอเพนซอร์ส ซึ่งนักพัฒนาตกเป็นเป้าหมายของการโจมตีผ่านวิธีการต่างๆ เช่น การปลอมแปลงชื่อ (namespace impersonation) และ typosquatting ดังที่เคยเกิดเหตุการณ์บัญชีผู้เผยแพร่ถูกบุกรุกเพื่ออัปเดตที่ติดมัลแวร์
Severity: สูง
System Impact:
- Open VSX Registry
- Microsoft Visual Studio Code (VS Code) extensions
- Open-source package registries
- Extension marketplaces
Technical Attack Steps:
- ผู้ไม่หวังดีใช้เทคนิคการปลอมแปลงชื่อ (namespace impersonation) หรือ typosquatting เพื่อหลอกล่อผู้ใช้งาน
- มีการใช้บัญชีผู้เผยแพร่ที่ถูกบุกรุกบน package registries หรือ extension marketplaces เพื่อเผยแพร่อัปเดตที่ติดมัลแวร์
- ส่วนขยายที่เป็นอันตรายถูกเผยแพร่ และอาจเข้าถึงหรือควบคุมระบบของผู้ใช้งานที่ดาวน์โหลดไป
Recommendations:
Short Term:
- ผู้ใช้งานควรระมัดระวังในการดาวน์โหลดและติดตั้งส่วนขยาย (extensions) โดยเฉพาะจากแหล่งที่ไม่คุ้นเคย และตรวจสอบความถูกต้องของผู้เผยแพร่เสมอ
- ผู้พัฒนาควรตรวจสอบโค้ดและส่วนขยายของตนเองอย่างละเอียดเพื่อหาช่องโหว่หรือข้อมูลรับรองที่อาจหลุดรอดก่อนเผยแพร่
- เฝ้าระวังการอัปเดตส่วนขยายที่ผิดปกติหรือไม่คาดคิด ซึ่งอาจเป็นสัญญาณของการบุกรุก
Long Term:
- Eclipse Foundation จะบังคับใช้การตรวจสอบความปลอดภัยก่อนการเผยแพร่สำหรับส่วนขยาย Open VSX เพื่อลดความเสี่ยงด้าน Supply Chain
- ระบบจะทำการตรวจสอบเพื่อระบุการปลอมแปลงชื่อส่วนขยายหรือ namespace ที่ชัดเจน, การเผยแพร่ข้อมูลรับรองหรือความลับโดยไม่ได้ตั้งใจ, และรูปแบบที่เป็นอันตรายที่รู้จัก
- การอัปโหลดที่น่าสงสัยจะถูกกักกันเพื่อตรวจสอบ แทนที่จะเผยแพร่ทันที
- ผู้ใช้งานควรอัปเดต VS Code และส่วนขยายที่ใช้งานเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อรับการแก้ไขช่องโหว่และมาตรการป้องกัน
- ส่งเสริมการนำเครื่องมือและแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยของโค้ด (Secure Coding) มาใช้ในการพัฒนาและดูแลส่วนขยายโอเพนซอร์ส
Source: https://thehackernews.com/2026/02/eclipse-foundation-mandates-pre-publish.html
Share this content: