サイバーニュース.jp

世界のサイバーなニュースを配信

Open VSXサプライチェーン攻撃:正規開発者アカウント悪用でGlassWormマルウェア拡散

カテゴリ:

Open VSXサプライチェーン攻撃の概要

2026年2月2日、サイバーセキュリティ研究者らは、Open VSX Registryを標的としたサプライチェーン攻撃の詳細を明らかにしました。この攻撃では、匿名の脅威アクターが正規開発者のリソースを侵害し、悪意のあるアップデートを多数のユーザーに配信しました。

Socketセキュリティ研究者のKirill Boychenko氏は、1月30日にoorzc開発者によって公開された4つの確立されたOpen VSX拡張機能が、GlassWormマルウェアローダーを埋め込んだ悪意のあるバージョンとして公開されたことを報告しました。これらの拡張機能は、以前から正当な開発者ユーティリティとして提供されており、悪意のあるリリースまでに合計22,000回以上ダウンロードされていました。

攻撃の詳細と侵害された拡張機能

サプライチェーンセキュリティ企業Socketによると、この攻撃は開発者の公開資格情報の侵害を伴っており、Open VSXセキュリティチームは、漏洩したトークンまたはその他の不正アクセスが関与していると評価しています。悪意のあるバージョンは既にOpen VSXから削除されています。

侵害された拡張機能のリストは以下の通りです。

  • FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — バージョン0.5.1)
  • I18n Tools (oorzc.i18n-tools-plus — バージョン1.6.8)
  • vscode mindmap (oorzc.mind-map — バージョン1.0.61)
  • scss to css (oorzc.scss-to-css-compile — バージョン1.3.4)

GlassWormマルウェアの機能と標的

Socketによると、悪意のあるバージョンは、既知のキャンペーンであるGlassWormに関連するローダーマルウェアを配信するように設計されています。このローダーは、実行時に埋め込まれたものを復号して実行し、EtherHidingと呼ばれる高度な技術を用いてコマンド&コントロール(C2)エンドポイントを取得します。最終的に、このコードはApple macOSの認証情報と仮想通貨ウォレットデータを窃取することを目的としています。

特筆すべきは、マルウェアが起動するのは、侵害されたマシンがプロファイルされ、ロシア語圏ではないと判断された場合に限られるという点です。これは、ロシア語圏の脅威アクターが国内での訴追を回避するためによく見られるパターンです。

マルウェアが収集する情報の種類は多岐にわたります。

  • Mozilla FirefoxおよびChromiumベースのブラウザデータ(ログイン情報、Cookie、インターネット履歴、MetaMaskなどのウォレット拡張機能)
  • 仮想通貨ウォレットファイル(Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance、TonKeeper)
  • iCloud Keychainデータベース
  • Safari Cookie
  • デスクトップ、ドキュメント、ダウンロードフォルダのApple Notesユーザー文書
  • FortiClient VPN設定ファイル
  • 開発者認証情報(例:~/.awsおよび~/.ssh

開発者情報窃取の重大性

開発者情報を標的とすることは、企業環境にとって深刻なリスクをもたらします。これにより、クラウドアカウントの侵害やラテラルムーブメント攻撃に繋がる可能性があります。Boychenko氏は、「ペイロードには、npm設定から_authTokenを検査したり、GitHub認証アーティファクトを参照したりするなど、一般的なワークフローで使用される認証資料を特定および抽出するルーチンが含まれており、プライベートリポジトリ、CIシークレット、リリース自動化へのアクセスを提供する可能性があります」と述べています。

これまでの攻撃との違いと今後の対策

今回の攻撃の重要な側面は、これまで観察されてきたGlassWormの指標とは異なり、正当な開発者の侵害されたアカウントを利用してマルウェアを配布している点です。以前の事例では、キャンペーンの背後にいる脅威アクターは、タイプミス誘発やブランドジャッキングを利用して不正な拡張機能をアップロードし、その後の拡散を図っていました。

Socketは、「脅威アクターは通常の開発ワークフローに溶け込み、暗号化され、実行時に復号されるローダーの背後に実行を隠し、Solanaメモを動的なデッドドロップとして使用して、拡張機能を再公開することなくステージングインフラストラクチャをローテーションします」と述べています。「これらの設計上の選択は、静的指標の価値を低下させ、防御側の優位性を行動検知と迅速な対応へとシフトさせます。」

元記事: https://thehackernews.com/2026/02/open-vsx-supply-chain-attack-used.html

投稿をさらに読み込む