Uma vulnerabilidade crítica recentemente corrigida no Open VSX — repositório alternativo de extensões para o Microsoft Visual Studio Code — revelou uma falha preocupante no processo de validação de segurança. O bug permitia que extensões maliciosas fossem publicadas sem passar pelas verificações obrigatórias, abrindo caminho para possíveis ataques à cadeia de suprimentos de software.

A falha, batizada de “Open Sesame”, foi identificada por Pesquisadores da Koi Security e estava relacionada ao pipeline de verificação pré-publicação. O problema residia em uma lógica inadequada no sistema, que utilizava um único valor booleano para representar dois cenários distintos: ausência de scanners configurados e falha na execução das ferramentas de análise. Na prática, quando os scanners falhavam — especialmente sob alta carga — o sistema interpretava como se não houvesse nada a ser analisado, liberando automaticamente a extensão para publicação.

O Open VSX, mantido pela Eclipse Foundation, havia implementado recentemente essas verificações como uma camada adicional de proteção contra extensões maliciosas. A plataforma é utilizada não apenas pelo VS Code, mas também por forks populares como Cursor e Windsurf, o que amplia significativamente o impacto potencial da falha.

Na teoria, qualquer extensão suspeita deveria ser automaticamente bloqueada e encaminhada para revisão manual. No entanto, devido ao bug, extensões podiam simplesmente “pular” essa etapa. O problema se agravava em cenários de sobrecarga, onde múltiplas submissões simultâneas esgotavam o pool de conexões com o banco de dados, impedindo a execução dos scanners.

Explorando essa limitação, um invasor poderia enviar diversas extensões maliciosas em formato .VSIX para forçar o sistema ao erro. Como resultado, os jobs de análise não eram executados, e o pipeline liberava automaticamente essas extensões para publicação — sem qualquer verificação de segurança.

Um dos pontos mais críticos é que o ataque não exigia privilégios elevados. Bastava possuir uma conta gratuita de desenvolvedor para explorar a vulnerabilidade e publicar extensões comprometidas no repositório, potencialmente atingindo milhares de desenvolvedores que utilizam essas ferramentas no dia a dia.

Outro fator agravante foi identificado no serviço de recuperação do sistema, projetado para reprocessar falhas. Esse mecanismo também sofria do mesmo problema lógico, permitindo que extensões escapassem definitivamente das verificações, mesmo após tentativas de revalidação.

A vulnerabilidade foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável realizada em fevereiro de 2026. O caso reforça um problema recorrente em engenharia de software: falhas do tipo fail-open, onde erros no sistema resultam na liberação de processos críticos, em vez de bloqueio por segurança.

Especialistas alertam que, embora mecanismos de verificação pré-publicação sejam essenciais, eles não devem ser a única camada de defesa. O incidente destaca a importância de implementar controles adicionais, como validação em runtime, monitoramento comportamental e políticas rigorosas de revisão de código.