概要:開発者狙う巧妙なサプライチェーン攻撃
OpenVSXおよびMicrosoft Visual Studioのマーケットプレイスを標的とした、新たなサプライチェーン攻撃が進行中です。この攻撃では、「GlassWorm」と呼ばれる自己拡散型マルウェアが使用されており、これまでに推定35,800回ものインストールが確認されています。GlassWormは、目に見えないUnicode文字を利用して悪意のあるコードを隠蔽し、盗んだアカウント情報を使ってさらに多くの拡張機能に感染を広げることが可能です。
GlassWormの巧妙な手口
このマルウェアは、その悪意あるコードを隠すために、コードエディタ上では「見えない」Unicode文字を使用するという非常に巧妙な手法を採用しています。これにより、開発者がコードをレビューしても、悪意のある部分を発見することが困難になります。
窃取される情報と悪用される機能
GlassWormが一度インストールされると、以下の情報を窃取しようと試みます。
- GitHub、npm、OpenVSXアカウントの認証情報
- 49種類の拡張機能から暗号通貨ウォレットデータ
さらに、被害者のマシンを介して悪意のあるトラフィックをルーティングするためのSOCKSプロキシを展開し、不可視のリモートアクセスを可能にするVNCクライアント(HVNC)をインストールします。
分散型C2インフラの脅威
GlassWormのオペレーターは、コマンド&コントロール(C2)にSolanaブロックチェーンを利用しており、これによりテイクダウンが非常に困難になっています。バックアップオプションとしてGoogleカレンダーも使用され、イベントタイトルにbase64エンコードされたURLが含まれています。また、直接IPアドレス(217.69.3[.]218)への接続や、BitTorrentの分散ハッシュテーブル(DHT)を利用した分散型コマンド配信も行われ、高い耐障害性を実現しています。
最終ペイロード「ZOMBI」
このワームの最終ペイロードは「ZOMBI」と呼ばれ、「大規模に難読化されたJavaScript」コードで構成されています。ZOMBIは、感染した開発者のワークステーションをサイバー犯罪インフラネットワークのノードに変貌させるとKoi Securityは警告しています。
感染が確認された拡張機能
研究者によって、OpenVSXで少なくとも11個、MicrosoftのVS Codeマーケットプレイスで1個の拡張機能がGlassWormに感染していることが確認されました。主な感染拡張機能は以下の通りです。
- codejoy.codejoy-vscode-extension @1.8.3 および 1.8.4
- l-igh-t.vscode-theme-seti-folder @1.2.3
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight @0.3.2
- JScearcy.rust-doc-viewer @4.2.1
- SIRILMP.dark-theme-sm @Library/Developer/CoreSimulator/Devices/0BB1EC68-4552-42EF-AE0F-92728A00B9D6/data/private/var/MobileAsset/AssetsV2/persisted/AutoAssetDescriptors/AutoAssetDescriptors_Entry_com.apple.MobileAsset.UAF.Siri.FindMyConfigurationFiles_com.apple.siri.findmy.primary_device_files_0.2.3.11.4176_0.state
- CodeInKlingon.git-worktree-menu @1.0.9 および 1.0.91
- ginfuru.better-nunjucks @0.3.2
- ellacrity.recoil @0.7.4
- grrrck.positron-plus-1-e @0.0.71
- jeronimoekerdt.color-picker-universal @2.8.91
- srcery-colors.srcery-colors @0.3.9
- cline-ai-main.cline-ai-agent @3.1.3 (Microsoft VS Code)
Microsoftは研究者からの警告を受け、悪意のある拡張機能をマーケットプレイスから削除しましたが、OpenVSXでは一部の感染拡張機能が依然としてダウンロード可能な状態でした。vscode-theme-seti-folderとgit-worktree-menuのパブリッシャーは、悪意のあるコードを削除するために拡張機能を更新しています。
VS Code拡張機能の自動更新による深刻な影響
研究者たちは、VS Code拡張機能の自動更新機能がこの攻撃を特に緊急性の高いものにしていると指摘しています。CodeJoyがバージョン1.8.3で不可視のマルウェアをプッシュした際、CodeJoyがインストールされていたすべてのユーザーは、ユーザーの操作や警告なしに自動的に感染バージョンに更新されました。これは、サイレントかつ自動的な感染を意味します。
過去の事例と今後の警戒
先月には、npmエコシステムを襲った「Shai-Hulud」と呼ばれる同様のワーム型攻撃があり、187のパッケージが侵害されました。GlassWormは、「最も洗練されたサプライチェーン攻撃の一つ」であり、VS Codeに対するワーム型攻撃としては初の事例であるとKoi Securityは述べています。GlassWormキャンペーンのC2およびペイロードサーバーは依然として活動しており、土曜日時点でも10個の拡張機能がマルウェアを積極的に配布していました。開発者は、使用する拡張機能の信頼性を常に確認し、セキュリティ対策を強化することが求められます。