概要
Socket Research Team の最新レポートによると、GlassWorm マルウェアキャンペーンは、ソフトウェア開発者を標的とした攻撃を強化しています。このキャンペーンでは、開発者環境に悪意のあるコードを忍び込ませるため、トランジティブ依存関係を悪用しています。
72の悪意のある Open VSX エクステンション
Socket Research Team は、2026年1月31日以降に72の新たな悪意のある Open VSX エクステンションが確認されたと報告しています。
トランジティブ配布メカニズム
VS Code と互換性のあるエディタは、extensionPack と extensionDependencies というマニフェストフィールドを使用して、関連ツールを自動的にインストールします。GlassWorm はこの利便性機能を悪用しています。
攻撃の手口
攻撃者は最初にクリーンな単独のエクステンションを公開し、基本的なセキュリティレビューをパスします。その後、更新で悪意のある依存関係を追加します。開発者のエディタが主要なエクステンションを更新するとき、バックグラウンドで GlassWorm ローダーが静かにインストールされます。
技術的な変化
- インフラストラクチャの回転:攻撃者は Solana ワレットを変更し、新しい IP アドレスを追加しました。
- コマンド&コントロール(C2):既存の IP アドレスを継続的に使用しつつ、新しい IP アドレスも追加しています。
- 高度なオブスキュレーション:ローダーはより複雑な RC4、base64、および文字列配列のオブスキュレーションを使用しています。
- 外部暗号化:暗号化キーは HTTP レスポンスヘッダーから取得されるようになりました。
防御戦略
開発者ワークステーションが最終的な標的であるため、セキュリティチームは遅延型のトランジティブ攻撃を検出するための防御を強化する必要があります。
- エクステンションの履歴を監視する。
- インストールチェーン全体をレビューする。
- 既知のインジケーターを検索する。
- エンドポイントをセキュリティで保護する。
- 自動化されたスキャンソリューションを使用する。
結論
開発者環境に対する攻撃はますます巧妙になっており、セキュリティチームはこれらの新しい手法に対応するための適応が必要です。
元記事: https://gbhackers.com/glassworm-spreads-via-72-malicious-open-vsx-extensions/