Разработчики Eclipse Foundation, которые поддерживают Open VSX, объявили, что намерены проверять расширения Microsoft Visual Studio Code на безопасность еще до их публикации в репозитории. Эта мера должна снизить риски компрометации цепочки поставок.

Речь идет о переходе от реактивной модели (удаление вредоносных расширений по факту обнаружения) к проактивной, когда подозрительные загрузки блокируются еще на этапе публикации.

«До сих пор Open VSX в основном полагался на реагирование постфактум и расследования. Если нам сообщали о вредоносном расширении, мы изучали его и удаляли, — пишет Кристофер Гвиндон (Christopher Guindon), директор по разработке ПО в Eclipse Foundation. — Этот подход по-прежнему актуален и необходим, но он не масштабируется по мере роста объема публикаций и эволюции моделей угроз».

Дело в том, что репозитории опенсорсных пакетов и маркетплейсы расширений все чаще становятся мишенью злоумышленников. Злоумышленники используют разные методы — от тайпсквоттинга до компрометации аккаунтов издателей. К примеру, совсем недавно специалисты компании Socket предупредили, что взломанная учетная запись использовалась хакерами для загрузки в Open VSX вредоноса GlassWorm.

Внедряя превентивные проверки, разработчики хотят сократить окно для атаки и обнаруживать следующие сценарии (помещая подозрительные загрузки на карантин для дальнейшего анализа):

явные случаи подмены названия расширения и попытки выдать расширение за другой проект;

случайно опубликованные учетные данные или секреты;

известные вредоносные паттерны.

Следует отметить, что Microsoft уже реализовала многоступенчатый процесс проверки в Visual Studio Marketplace. Он включает сканирование входящих пакетов на малварь, затем повторное сканирование каждого свежеопубликованного пакета «вскоре после» публикации, а также периодические массовые перепроверки всех пакетов.

В Eclipse Foundation сообщили, что программа верификации расширений будет запущена поэтапно. В течение февраля 2026 года разработчики планируют отслеживать новые расширения без блокировки публикации, чтобы проверить систему, снизить число ложных срабатываний и улучшить обратную связь. Полноценное применение нового механизма начнется в марте.