GlassWormの出現:OpenVSXを狙う新たな脅威
2025年10月17日に初めて確認された「GlassWorm」は、OpenVSXマーケットプレイスのVS Code拡張機能を標的とする、世界初の自己増殖型ワームです。この脅威は、目に見えない悪意のあるペイロードと分散型コマンド&コントロール(C2)インフラストラクチャを展開し、検出や無力化を極めて困難にしています。
GlassWormは、開発者のマシンを乗っ取り、認証情報を窃取し、仮想通貨ウォレットを空にし、感染したシステムを犯罪者のプロキシノードに変貌させます。その一方で、ブロックチェーンとGoogleカレンダーを「破壊不能な」C2バックボーンとして利用しています。
「グラスコード」によるステルス攻撃
GlassWormの最も革新的な点は、不可視のUnicode異体字セレクタを使用して、VS Code拡張機能パッケージに悪意のあるJavaScriptを埋め込むことです。これにより、IDEや差分ツールでは空白行に見える数百行のソースコードが、実際には実行可能なコードを含んでいます。
この「グラスコード」は、静的スキャナーや人間のレビュー担当者には無視されますが、JavaScriptエンジンによって解析されるため、疑われることなくワームが実行されます。この手法は、人間のコードレビューが隠れた脅威を捕捉できるという長年の前提を打ち破り、攻撃者が数千人のユーザーに目に見えないマルウェアを単一のアップデートで配布することを可能にします。
分散型コマンド&コントロール(C2)インフラ
不可視のペイロードが実行されると、GlassWormはC2命令のためにSolanaブロックチェーンに接続します。Solanaブロックチェーンは次のステージを指し示し、ハードコードされたウォレットアドレスからの最近のトランザクションをスキャンし、Base64エンコードされたダウンロードリンクを含むメモフィールドを読み取り、次のペイロードを取得します。このアプローチは、停止または変更できない不変の分散型台帳を活用しています。
バックアップとして、ワームはGoogleカレンダーのイベントタイトルにエンコードされた代替ペイロードURLを取得し、正当なサービスを悪用してネットワーク制限を回避します。防御側が既知のIPアドレス(例:217.69.3.218)やドメイン名をブロックしても、攻撃者は新しいSolanaトランザクションを投稿したり、カレンダーイベントを更新したりするだけで、感染システムに対する継続的な制御を保証します。
最終段階:ZOMBIモジュールの機能
GlassWormの最終段階は「ZOMBIモジュール」と呼ばれ、フル機能のリモートアクセス型トロイの木馬(RAT)を展開します。感染したマシンは以下の活動を行います。
- 企業ネットワークを介して犯罪トラフィックをルーティングし、攻撃者の活動を匿名化する隠蔽されたSOCKSプロキシサーバーを運用します。
- NATおよびファイアウォールの障壁を越えるピアツーピア制御チャネルのためにWebRTCモジュールを展開します。
- 集中型サーバーなしでコマンドを配布するためにBitTorrentのDHTネットワークを利用します。
- ユーザーには見えない仮想デスクトップで実行される隠しVNCセッション(HVNC)をインストールし、攻撃者にステルスなデスクトップアクセスを許可します。
広がる被害と自己増殖メカニズム
GlassWormは、認証情報(NPMトークン、GitHubおよびGitの認証情報、OpenVSXアクセス)の窃取に加え、49種類の仮想通貨ウォレット拡張機能も標的とします。さらに、盗んだトークンを自動的に使用して、新しい拡張機能に悪意のあるアップデートを公開します。この自己複製サイクルは、Shai-Huludのnpmワームの挙動を模倣していますが、その洗練度ははるかに高く、真に不可視のコードインジェクション、ブロックチェーンC2、多層冗長性、および完全なRAT機能が特徴です。
このワームは、これまでに7つのOpenVSX拡張機能を侵害し、合計で35,800回以上ダウンロードされています。現在もOpenVSXおよびMicrosoftのVS Codeマーケットプレイスで活動しており、執筆時点では10の拡張機能がGlassWormを配布し続けています。感染した拡張機能の開発者は、認証情報の窃取、仮想通貨ウォレットの流出、そして知らず知らずのうちにグローバルなプロキシおよびボットネットネットワークへの参加という事態に直面しています。
対策と今後の課題
vscode-theme-seti-folderとgit-worktree-menuの2つの拡張機能の作者はクリーンなアップデートを展開しましたが、5つの侵害されたプロジェクトはまだ修正を待っています。
GlassWormの出現は、ソフトウェアサプライチェーン攻撃における危険な進化を示しています。従来の防御策、すなわち手動コードレビュー、シグネチャベースの検出、集中型テイクダウンは、不可視のコードと分散型C2に対しては効果がありません。企業や開発者は、直ちにインストールされているVS Code拡張機能を監査し、すべての認証情報を失効・ローテーションし、隠れたUnicodeペイロードや異常なネットワーク接続を検出できる高度な行動監視を展開する必要があります。
セキュリティツールがこれらの新しいステルス技術に適応するまで、すべての開発者のワークステーションは、犯罪インフラネットワークにおける目に見えないノードとして機能する可能性があります。GlassWormは、人間のレビューに対する信頼を打ち砕き、止められないコマンドチャネルを活用することで、脅威のレベルを格段に引き上げています。ワームが拡散するにつれて、不可視の脅威から開発パイプラインを保護することが、世界中のセキュリティにとって最優先事項となっています。