Uma vulnerabilidade séria recentemente corrigida no Open VSX — repositório alternativo de extensões para o Microsoft Visual Studio Code — revelou uma falha preocupante no mecanismo de validação de segurança. O bug possibilitava que extensões maliciosas fossem publicadas sem passar pelas verificações obrigatórias, criando brechas para potenciais ataques à cadeia de suprimentos de software.
Batizada de “Open Sesame”, a falha foi descoberta por pesquisadores da Koi Security e estava ligada ao pipeline de validação pré-publicação. O problema ocorria devido a uma lógica inadequada que utilizava um único valor booleano para diferenciar dois cenários: ausência de scanners configurados e falha na execução das ferramentas de análise. Na prática, quando os scanners não funcionavam — especialmente em situações de alta demanda — o sistema interpretava como se não houvesse verificações necessárias, liberando automaticamente a extensão para publicação.
O Open VSX, mantido pela Eclipse Foundation, havia implementado recentemente essas verificações como camada adicional de proteção contra extensões maliciosas. O repositório é utilizado não apenas pelo VS Code, mas também por forks populares como Cursor e Windsurf, aumentando o alcance e o impacto potencial da vulnerabilidade.
Na teoria, extensões suspeitas deveriam ser bloqueadas automaticamente e direcionadas para revisão manual. Entretanto, devido ao bug, era possível que algumas extensões contornassem essa etapa. O problema se intensificava em momentos de sobrecarga, quando múltiplas submissões simultâneas esgotavam o pool de conexões do banco de dados, impedindo a execução dos scanners.
Explorando essa falha, um invasor poderia enviar várias extensões em formato .VSIX para induzir o sistema ao erro. Com isso, os processos de análise não eram executados e o pipeline liberava automaticamente as extensões para publicação sem qualquer verificação de segurança.
Outro ponto crítico era que o ataque não exigia privilégios elevados: qualquer usuário com uma conta gratuita de desenvolvedor poderia explorar a vulnerabilidade e publicar extensões comprometidas, atingindo potencialmente milhares de desenvolvedores.
O serviço de recuperação do sistema, projetado para reprocessar falhas, também apresentava o mesmo problema lógico. Dessa forma, extensões podiam escapar definitivamente das verificações, mesmo após tentativas de revalidação.
A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável realizada em fevereiro de 2026. O incidente evidencia um problema recorrente na engenharia de software: falhas do tipo fail-open, onde erros no sistema resultam na liberação de processos críticos em vez de bloqueio seguro.
Especialistas reforçam que, embora verificações pré-publicação sejam essenciais, elas não devem ser a única camada de defesa. O caso destaca a necessidade de controles adicionais, como validação em runtime, monitoramento comportamental e políticas rigorosas de revisão de código.
