Quando “Niente da scansionare” fa entrare i malviventi: la falla silenziosa nel muro di sicurezza di Open VSX

Sembra la trama di un cyber-thriller: un marketplace open-source per estensioni di codice ampiamente utilizzato, di cui si fidano sviluppatori in tutto il mondo, viene colto di sorpresa da una singola riga di logica difettosa. Niente hack spettacolari, nessun accesso privilegiato - solo una silenziosa svista di programmazione che ha spalancato i cancelli ai sabotatori digitali. Questa è la storia della vulnerabilità “Open Sesame” di Open VSX, un bug così sottile da trasformare i controlli di sicurezza della piattaforma in poco più di una formalità sotto pressione.

All’inizio del 2026, i ricercatori di sicurezza di Koi Security hanno scoperto una pericolosa vulnerabilità annidata dentro Open VSX, il registro open-source che alimenta i marketplace di estensioni per Microsoft Visual Studio Code e i suoi numerosi fork. La Eclipse Foundation, che mantiene Open VSX, aveva recentemente introdotto scansioni di sicurezza obbligatorie pre-pubblicazione per eliminare le estensioni malevole - una mossa necessaria man mano che cresceva la minaccia dei plugin canaglia.

Ma sotto questo nuovo strato di difesa si nascondeva un difetto critico: la pipeline di scansione restituiva un singolo valore booleano - essenzialmente una risposta sì/no - per indicare o “non sono configurati scanner” oppure “tutti gli scanner non sono riusciti a partire”. Il problema? Il sistema non riusciva a distinguere tra queste due situazioni. Se tutti gli scanner fallivano sotto carico elevato, Open VSX lo trattava come se non ci fosse nulla da controllare e lasciava passare l’estensione, contrassegnandola come sicura e rendendola immediatamente disponibile per il download.

Il bug, in codice “Open Sesame”, era più di una svista curiosa. Un attaccante non doveva introdursi né aumentare i privilegi. Bastava inondare l’endpoint di pubblicazione con un numero sufficiente di file di estensioni malevole da esaurire le connessioni al database del sistema. Una volta sovraccaricato, gli scanner non riuscivano ad accodare nuovi job, e il sistema interpretava erroneamente questo fallimento come “niente da scansionare”. Persino il servizio di ripristino integrato, progettato per ritentare le scansioni fallite, soffriva dello stesso punto cieco - permettendo al codice pericoloso di saltare del tutto il processo di verifica.

Le implicazioni erano nette: un avversario determinato avrebbe potuto aggirare in modo affidabile i controlli di sicurezza e pubblicare estensioni dannose, potenzialmente raggiungendo migliaia di sviluppatori ignari. Dopo la responsible disclosure, Open VSX ha corretto la falla nella versione 0.32.0, rendendo espliciti gli stati di errore e chiudendo definitivamente la scappatoia.

L’incidente “Open Sesame” è un monito per l’intera industria del software: anche gli strati di sicurezza più animati dalle migliori intenzioni possono crollare sotto il peso di una gestione degli errori ambigua. Nel mondo della cybersecurity, la chiarezza non è solo una virtù - è una necessità.

WIKICROOK

• Booleano: Un booleano è un tipo di dato con soli due valori: vero o falso. È ampiamente usato nella cybersecurity per decisioni di logica e controllo degli accessi.
• Pre: Un pre è una fuga illegale di contenuti digitali prima della loro uscita ufficiale, spesso causando danni finanziari e reputazionali a creatori o aziende.
• Pool di connessioni al database: Un pool di connessioni al database è un insieme di connessioni riutilizzabili che migliora prestazioni e sicurezza gestendo in modo efficiente più richieste simultanee al database.
• Responsible disclosure: La responsible disclosure è quando le falle di sicurezza vengono segnalate privatamente ai fornitori, consentendo loro di correggere i problemi prima che le informazioni diventino pubbliche.
• Fail: Fail descrive quando un sistema o un controllo di cybersecurity non funziona come previsto, potenzialmente esponendo vulnerabilità o consentendo accessi non autorizzati.