A Fundação Eclipse decidiu dar um passo significativo para endurecer a segurança do seu repositório de extensões Open VSX, o registro alternativo onde são publicados plugins compatíveis com o Visual Studio Code. Até agora a dinâmica tinha sido, essencialmente, reativa: quando uma extensão maliciosa era detectada se investigava e se retirava. Os pacotes são agora apresentados antes de estarem disponíveis publicamente, com o objectivo de reduzir a janela de exposição e de travar a propagação de código prejudicial na cadeia de abastecimento.
A ideia por trás destas verificações prévias à publicação é simples, mas poderosa: interceptar sinais claros de problemas — desde tentativas de suplantação de nomes até segredos acidentalmente incluídos — antes de uma extensão alcance a milhões de desenvolvedores. Segundo a equipe da Fundação Eclipse, essa estratégia pretende elevar o nível mínimo de segurança do registro e oferecer maior confiança no Open VSX como infraestrutura compartilhada. Você pode ler o comunicado oficial e os detalhes técnicos no blog da Fundação Eclipse aqui.
A mudança não chega no vazio. Os repositórios e mercados de pacotes tornaram-se objetivos de baixo custo e alto impacto para atores maliciosos: basta introduzir uma extensão ou pacote infectado ou fazer passar por um autor legítimo para alcançar milhares ou milhões de usuários. Incidentes anteriores em grande escala, como a investida contra o SolarWinds que afetou a cadeia de fornecimento de software, deixaram claro que a confiança implícita em componentes e distribuições pode ser explorada com consequências sérias; nesse caso existe uma análise e aviso público por parte das autoridades aqui.
Outra referência útil para entender o contexto geral das ameaças à cadeia de abastecimento é o trabalho da comunidade de segurança: projetos como os de OWASP sobre segurança da cadeia de fornecimento do software Eles coletam padrões de ataque e boas práticas para mitigar. No caso de registries de extensões, os vetores mais recorrentes incluem a suplantação de nomes (namespace impessoation), a publicação por erro de credenciais dentro do código, e padrões de comportamento identificáveis associados a pacotes maliciosos.
Para evitar bloquear os desenvolvedores de boa fé, a Fundação Eclipse decidiu implantar a nova verificação de forma gradual. Durante o mês de fevereiro de 2026, o sistema irá operar em modo observação: as publicações recém- subidas serão monitoradas sem impedir a sua disponibilidade imediata, o que permitirá afinar regras, reduzir falsos positivos e melhorar as mensagens que são devolvidas aos autores. A intenção é começar a fase de aplicação efectiva no mês seguinte, dando assim um período de adaptação tanto técnico como de comunicação com a comunidade.
Esta aproximação escalonada é importante porque as verificações automáticas podem pegar muitos problemas óbvios, mas também podem gerar fricções se não estiverem bem calibradas. Detectores de segredos no código, sistemas de comparação de nomes ou heurísticos que apontam padrões suspeitos devem ser combinados com processos humanos e vias de recurso claras para que os desenvolvedores legítimos não sofram interrupções desnecessárias.
Não é um experimento exclusivo do Open VSX. A Microsoft já aplica um processo de validação no seu próprio mercado de extensões, com varreduras iniciais, reescanes pouco depois da publicação e auditorias periódicas a todo o corpus de pacotes, como descreve a empresa em sua documentação sobre segurança e confiança do Marketplace aqui. Aprender com as práticas existentes e adaptar medidas que funcionem em outros ecossistemas ajuda a não repetir erros e a consolidar respostas mais padrão contra ameaças comuns.
O que pode esperar pela comunidade de desenvolvedores que publica no Open VSX? Na prática, quando o sistema identificar um aumento com sinais problemáticas, a extensão pode ficar em uma fila de revisão ou em quarentena temporária até que passem controles adicionais. Os motivos podem ir desde coincidências óbvias com nomes de extensões populares – o que sugere uma possível suplantação – até a presença de chaves ou tokens no pacote, ou padrões que ferramentas de detecção consideram maliciosos. Para os autores de boa fé isso acrescentará um passo mais ao fluxo de publicação, mas a intenção declarada é que o processo seja previsível e justo, oferecendo feedback útil para corrigir e voltar a tentar a publicação.
A notícia também abre uma conversa mais ampla sobre como equilibrar segurança, facilidade de publicação e transparência. Aumentar a verificação reduz riscos, mas requer recursos, manutenção e governança clara para evitar viés nas detecções. Além disso, a privacidade da informação contida nos pacotes a analisar e a proteção dos direitos dos autores são aspectos que devem ser cuidar na implementação operacional.
Em suma, a aposta da Fundação Eclipse é por passar de uma postura reativa a outra proativa, aplicando controles automatizados antes da publicação e combinando-os com revisões humanas quando necessário. Se for executada com sensibilidade aos desenvolvedores e com transparência sobre critérios e vias de recurso, pode aumentar a confiança no Open VSX e reduzir o risco de extensões maliciosas chegarem às máquinas dos usuários. Para quem quiser consultar o próprio registro e seu funcionamento, o site oficial do Open VSX está disponível aqui.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...