概要
「Evelyn Stealer」と呼ばれる新たなキャンペーンが、Visual Studio Code(VSC)の拡張機能エコシステムを攻撃配信プラットフォームとして悪用していることが明らかになりました。この攻撃はソフトウェア開発者をターゲットとし、企業の環境へのより深い侵入を可能にします。このキャンペーンは、一見正当に見える「Bitcoin Black」テーマや「Codo AI」コーディングアシスタントといった拡張機能を初期の誘いとして利用しています。
攻撃の初期侵入経路
攻撃者は、見た目は通常のテーマやAIアシスタントとして機能する拡張機能に、隠されたロジックを仕込んでいました。これらの拡張機能は、アクティベーション時にPowerShellやバッチスクリプトを実行し、バックグラウンドでマルウェアをダウンロードおよびステージングします。Koi SecurityとTrendAIの研究者によって詳細が明らかにされたこの作戦は、悪意のあるVSC拡張機能、DLLハイジャック、プロセスホローイング、および分析回避技術を組み合わせ、高価値な開発者ワークステーションを直接狙う成熟した多段階のデータ窃取パイプラインを構築しています。
多段階攻撃の手法
インストールされると、これらの拡張機能は正規のLightshotスクリーンショットユーティリティとトロイの木馬化されたDLLを組み合わせて配信します。これにより、DLLハイジャックを悪用し、信頼されたバイナリを装って攻撃者制御のコードを実行します。最初のステージのペイロードである「Lightshot.dll」は、正規のLightshotコンポーネントを装い、「Lightshot.exe」によってサイドロードされます。ロードされると、このDLLは自身のペイロードを即座に実行し、良性に見えるエクスポートを公開して、ホスト上で常に1つのインスタンスのみが実行されるようにシングルトン形式のミューテックスを実装します。
その後、隠れたPowerShellコマンドを生成し、ユーザーのTempディレクトリに「runtime.exe」として第2ステージの実行可能ファイルを取得します。これにより、より深い侵入チェーンの基盤が確立されます。この第2ステージである「iknowyou.model」は、プロセスホローイングインジェクターとして機能します。これは、Windowsプロセス「grpconv.exe」の停止されたインスタンスを作成し、埋め込まれたEvelyn StealerペイロードをAES-256-CBCで復号化します(ハードコードされたキーとIV値を使用)。復号化後、マルウェアは停止された「grpconv.exe」インスタンスのメモリをEvelyn Stealerのコードで置き換え、実行を再開します。これにより、最終ペイロードは正規のWindowsプロセス内で動作し、基本的な挙動ベースおよびシグネチャベースのセキュリティ制御を回避します。
Evelyn Stealerの機能と情報窃取
Evelyn Stealerがアクティブになると、プロセスインジェクション、ファイルおよびレジストリ操作、ネットワーク通信、クリップボードアクセスなどのためにWindows APIを動的に解決します。マルウェアは、GPU、ホスト名、ディスクサイズ、プロセス、レジストリ分析を含む広範な環境チェックを実行し、サンドボックスや研究環境を回避するために仮想マシンおよびデバッガー検出機能を組み込んでいます。システムがこれらのチェックをパスすると、EvelynはユーザーのApp Dataパスに自身の作業ディレクトリを作成し、大規模なデータ収集を開始します。
このスティーラーは、ブラウザ中心のデータ窃取とセッションハイジャックに重点を置いています。アクティブなブラウザプロセスを復元および終了させ、その後、ユーザーの視認性やフォレンジック痕跡を最小限に抑えるために、「–headless=new」、「–no-sandbox」、「–disable-extensions」、「–disable-logging」、オフスクリーン、1×1ピクセルのウィンドウといった長いリストのフラグを付けて、新しい隠れたブラウザインスタンス(例:ChromeまたはEdge)を起動します。Tempディレクトリ、攻撃者のFTPサーバー、または現在の作業ディレクトリから「abe_decrypt.dll」という専用のブラウザインジェクションDLLがフェッチされ、資格情報、Cookie、およびセッションデータを抽出するために注入されます。
収集されるアーティファクトは、以下のカテゴリを含みます:
- クリップボードの内容
- 保存されたWi-Fi資格情報
- システム情報
- インストールされたソフトウェアリスト
- 実行中のプロセス
- VPN構成
- 複数のカテゴリの暗号通貨ウォレットデータ
収集されたアーティファクトはZIPアーカイブにステージングされ、そのファイル名には国、IPアドレス、ユーザー名、OSバージョン、ハードウェア情報、ウォレット関連フラグなどの豊富なコンテキストがエンコードされた後、FTPを介して攻撃者制御のインフラに送られます。
対策と推奨事項
この脅威は、開発、DevOps、および本番環境でVSCとサードパーティ拡張機能に依存する組織にとって明確な影響を及ぼします。マルウェアがすべての必要な情報を収集すると、データをZIPファイルにアーカイブし、FTPを介して攻撃者のC&Cサーバーに送信します。侵害された開発者マシンは、攻撃者にソースコード、シークレット、CI/CDパイプライン、クラウドコンソール、および暗号通貨などのデジタル資産への直接アクセスを提供します。Evelynキャンペーンは、攻撃者が開発ツールやマーケットプレイスに対する信頼をどのように悪用し、ソーシャルエンジニアリングのテーマ(ダーククリプトにインスパイアされたテーマ、AIコパイロット)を反復しながら、配信チェーンを洗練させているかを示しています。
TrendAI Vision One™のようなベンダーは、Evelyn関連の侵害指標に対する検出およびブロックカバレッジを報告しており、悪意のある拡張機能、ペイロード、C2インフラを特定するのに役立つハンティングクエリと脅威インテリジェンスを提供しています。企業にとって、このキャンペーンは開発環境を高リスク資産として扱う緊急性を強調しています。具体的には、以下の対策が推奨されます。
- 厳格な拡張機能の審査
- 異常なPowerShellおよびヘッドレスブラウザのアクティビティの監視
- DLLハイジャックに対する強化
- 開発およびビルドシステムへのゼロトラスト原則の適用
AI搭載アシスタントや豊富な拡張機能エコシステムがIDEで普及するにつれて、開発者ツールを武器にする同様のキャンペーンは加速する可能性があり、プロアクティブな制御と継続的な監視がコードと重要なビジネスインフラの両方を保護するために不可欠となります。