VS Code zero-day: Jeden klik a vaše GitHub tokeny jsou v rukou hackerů. Energetika to pocítí první.

Představte si tohle: vývojář v dispečerském centru energetické společnosti si nainstaluje rozšíření do VS Code — nástroje, který denně používá miliony lidí. Dvacet sekund. Jeden klik na „Install". A útočník na druhém konci světa právě získal přístup k privátním repozitářům, CI/CD pipeline a možná i ke konfiguracím průmyslových řídicích systémů uložených na GitHubu.

Tohle není sci-fi. Tohle se děje teď.

Co je ten VS Code zero-day a proč je tak nebezpečný

V průběhu posledních měsíců bezpečnostní výzkumníci identifikovali kritickou zranitelnost v ekosystému Visual Studio Code. Jádro problému leží v tom, jak VS Code spravuje OAuth tokeny pro integraci s GitHubem. Tokeny jsou uloženy v systémovém keystoru nebo — na některých Linuxových distribucích a serverech bez GUI — přímo v plaintextovém souboru `~/.config/Code/User/globalStorage/`.

Útok funguje elegantně jednoduše. Škodlivé rozšíření VS Code nepotřebuje žádná administrátorská oprávnění. Stačí mu přečíst lokální soubory a exfiltrovat token přes HTTPS na útočníkův server. Celá operace trvá sekundy a zanechá minimální stopy v logách.

Výzkumníci z Aqua Security a dalších firem zdokumentovali, že Extension Marketplace Microsoftu sice provádí základní kontroly, ale ty jsou daleko od dokonalosti. Útočníci publikují rozšíření s legitimně znějícími jmény — třeba `prettier-code-fix` nebo `eslint-helper-pro` — a čekají, až si je někdo nainstaluje. Podle analýzy Aqua Security bylo takto kompromitováno přes 100 populárních rozšíření jen v roce 2024 a 2025.

Nejhorší na tom je, že GitHub token dnes neznamená přístup jen ke kódu. Tokeny s patřičnými oprávněními umožňují číst Secrets, spouštět Actions, modifikovat CI/CD pipeline nebo přistupovat k propojeným cloud službám. V energetickém sektoru to může znamenat přístup k automatizačním skriptům ovládajícím SCADA systémy nebo konfiguraci průmyslových PLC.

IronWorm a Miasma: Supply chain útok na npm ekosystém

Paralelně s VS Code zranitelností udeřili útočníci i přes npm. Červy IronWorm a nová varianta Miasma Worm cílí přímo na vývojáře průmyslových aplikací. IronWorm se šíří jako závislost v populárních npm balíčcích — infikuje lokální `node_modules`, a odtud se pokouší proniknout do dalších projektů na stejném vývojářském stroji.

Miasma je sofistikovanější. Nová varianta z roku 2026 dokáže detekovat, zda běží v prostředí s průmyslovými knihovnami — hledá reference na `node-opcua`, `modbus-serial`, `node-red` nebo `cip` v `package.json`. Pokud je najde, přidá do payloadu speciální modul zaměřený na exfiltraci konfiguračních souborů OT zařízení.

Tohle není akademická hrozba. Firmy jako Dragos, které se specializují na OT kybernetickou bezpečnost, zaznamenaly nárůst supply chain útoků cílených na energetický sektor o 340 % mezi lety 2023 a 2025. Útočníci vědí, že přímé útoky na průmyslové sítě jsou drahé a obtížné — ale zaútočit na vývojáře, kteří tyto sítě programují, je mnohem jednodušší.

Pokud vaše firma spravuje IoT monitoring nebo bateriová úložiště přes cloudové nástroje napojené na GitHub, jste potenciálním terčem.

Energetika a kritická infrastruktura: proč jsou vývojáři slabým článkem

Průmyslové řídicí systémy tradičně žily v air-gapped sítích izolovaných od internetu. Digitální transformace energetiky tahle pravidla změnila. Dnes jsou SCADA systémy, smart metery, střídače FVE a bateriová úložiště BESS propojeny s cloudem. Vývojáři, kteří píší integrační software nebo konfigurují OT zařízení, pracují v hybridním prostředí — jejich laptop má přístup do firemní sítě i na GitHub.

Útočníci tento přechod identifikovali jako zlatou příležitost. Místo prolomení průmyslového firewallu stačí kompromitovat vývojáře. GitHub tokeny jsou klíče k zámku — a VS Code zero-day nebo infikovaný npm balíček jsou přesně ty vektory, které útočníci využívají.

NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) ve svých doporučeních z roku 2025 explicitně upozorňuje na rizika supply chain útoků a doporučuje firmám z kategorie kritické infrastruktury zavést kontrolu softwarových závislostí a pravidelné audity vývojářského prostředí. Jejich metodiky a doporučení jsou volně dostupné a stojí za přečtení — zvláště pokud vaše firma spadá pod zákon o kybernetické bezpečnosti.

Realita v české energetice je taková, že naprostá většina firem nemá zavedené procesy pro auditování co vývojáři instalují na svých strojích. SIEM logy zachytí útok na server, ale kompromitaci vývojářského laptopu přes VS Code rozšíření? To projde bez povšimnutí.

Pro firmy zajišťující obchodování s flexibilitou nebo SVR služby je tohle obzvláště kritické — přístup k obchodním algoritmům nebo konfiguraci agregačních platforem by útočníkovi poskytl cenné informace i přímý vliv na trh.

Jak se bránit: technická opatření bez zbytečné byrokracie

Bezpečnostní komunita se shoduje na několika praktických krocích, které výrazně snižují riziko — a nezabijí produktivitu vývojářů.

Rotace tokenů a minimální oprávnění: GitHub Personal Access Tokeny mají platnost nastavenou na věčno, pokud to explicitně nezměníte. Nastavte exspiraci na 30–90 dní a přiřaďte minimální potřebná oprávnění. Fine-grained PAT (Personal Access Tokens) dostupné od roku 2023 umožňují omezit přístup na konkrétní repozitáře a konkrétní operace.

Auditování VS Code rozšíření: Sestavte allowlist povolených rozšíření a vynuťte ho přes VS Code Remote nebo Dev Containers policy. V enterprise prostředí lze použít `product.json` pro restriktivní konfiguraci. Každé nové rozšíření by mělo projít schválením — ano, zní to bureaucraticky, ale u kritické infrastruktury je to nezbytné.

Software Composition Analysis (SCA): Nástroje jako Snyk, Dependabot nebo Mend automaticky skenují npm závislosti a upozorní na kompromitované balíčky. IronWorm byl zachycen v několika npm balíčcích — SCA nástroj by alert vygeneroval do minut od publikace.

Izolace vývojářského prostředí: Vývojáři pracující na OT systémech by měli mít oddělené virtuální stroje nebo kontejnery bez přístupu do produkční sítě. Zní to jako overhead, ale v kombinaci s Dev Containers je správa takovýchto prostředí dnes záležitost hodin, ne týdnů.

GitHub Advanced Security a secret scanning: GitHub nativně skenuje commity na přítomnost tokenů a klíčů. Pokud si vývojář omylem commitne token, GitHub ho okamžitě revokuje. Tato funkce je zdarma pro veřejné repozitáře a součástí GitHub Advanced Security pro privátní.

Více o kybernetické ochraně průmyslových systémů a best practices najdete také na sdilenienergie.info a bess-global-blog.vercel.app, kde se pravidelně věnují bezpečnosti energetických systémů připojených k internetu.

Dragos, CISA a průmyslová realita: co říkají experti

Dragos — firma považovaná za světovou špičku v OT kybernetické bezpečnosti — publikovala v březnu 2026 zprávu o stavu zabezpečení průmyslové infrastruktury. Závěry jsou střízlivé: 90 % incidentů v OT prostředí v roce 2025 začalo v IT síti. Útočníci se pohybují laterálně — z kompromitovaného vývojářského laptopu do firemní sítě a odtud do OT segmentu.

CISA (americká Cybersecurity and Infrastructure Security Agency) vydala v lednu 2026 varování přímo k téma škodlivých VS Code rozšíření a doporučuje organizacím v sektoru energetiky okamžitě auditovat nainstalovaná rozšíření na všech pracovních stanicích s přístupem do průmyslových sítí.

Konkrétní čísla jsou alarmující: průměrná firma v energetickém sektoru má 847 nainstalovaných VS Code rozšíření napříč vývojářskými stroji. Z toho přibližně 12 % pochází od vydavatelů s méně než 1000 stažení — tedy od neověřených zdrojů s minimální komunitní kontrolou.

Dragos ve svých doporučeních zdůrazňuje tzv. „crown jewel analysis" — identifikaci nejcennějších aktiv a mapování všech cest, kudy se k nim dá dostat. GitHub repozitáře s konfiguracemi průmyslových zařízení jsou přesně takovými korunními klenoty, přesto jsou často chráněny jen slabým tokenem uloženým v plaintextovém souboru.

Pro provozovatele energetického poradenství nebo firmy spravující bateriová úložiště přes cloudové platformy platí jedno pravidlo: bezpečnostní audit vývojářského řetězce je dnes stejně důležitý jako penetrační test produkčního serveru.

Co bude dál: útočníci zesilují, obrana nestíhá

Trend je jasný. Útočníci — ať už státní aktéři nebo ransomwarové skupiny — pochopili, že vývojářské nástroje jsou nový vektor prvního přístupu. VS Code má přes 15 milionů aktivních uživatelů. Extension Marketplace obsahuje přes 50 000 rozšíření. Microsoft sice reaguje a zpřísňuje kontroly, ale je to hra na kočku a myš — nová škodlivá rozšíření se pravidelně dostávají přes filtry.

Supply chain útoky přes npm budou eskalovat. IronWorm a Miasma jsou jen předzvěst — výzkumníci z Socket.dev identifikují desítky infikovaných balíčků týdně. Automatizace tvorby falešných balíčků pomocí AI dramaticky snížila práh vstupu pro útočníky.

Pro českou energetiku to znamená, že příchod NIS2 direktivy, která vstoupila v platnost v říjnu 2024, není jen bureaucratická zátěž. Požadavky na bezpečnost dodavatelského řetězce a správu zranitelností jsou přesně tím, co pomůže firmám systematicky adresovat rizika jako VS Code zero-day nebo kompromitované npm balíčky.

Firmy, které investují do IoT monitoringu a cloudově spravovaných energetických systémů, by měly kybernetickou bezpečnost povýšit na strategickou prioritu — ne ji řešit ad-hoc po incidentu. Aktuální trendy a technická doporučení sledují také na ShareElectric.cz, kde se věnují praktickým aspektům bezpečnosti energetických systémů.

Predikce na rok 2026 a 2027: první velký ransomwarový incident v české energetice, který začne kompromitací vývojářského nástroje, není otázkou jestli — je otázkou kdy. Firmy, které to pochopí teď a investují do supply chain security, budou mít výrazně lepší šanci incident zastavit dřív, než dosáhne produkčních systémů.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SdíleniElektřiny.com - sdílení elektřiny SdileniEnergie.info - komunitní energetika