概要
Open VSXレジストリは、開発者が公開リポジトリで誤って漏洩させたアクセストークンが、脅威アクターによる悪意のある拡張機能の公開を許し、サプライチェーン攻撃に利用されたことを受け、これらのトークンをローテーションしました。この漏洩は、Wizの研究者によって2週間前に発見され、Microsoft VSCodeおよびOpen VSXマーケットプレイス全体で550以上のシークレットが露出していることが報告されました。
これらのシークレットの一部は、最大15万ダウンロードのプロジェクトへのアクセスを可能にし、脅威アクターが悪意のあるバージョンの拡張機能をアップロードする可能性があり、重大なサプライチェーンリスクを生み出していました。Open VSXは、Eclipse Foundationの下で開発されており、VSCode IDE用の拡張機能を提供するMicrosoftのVisual Studio Marketplaceのオープンソース代替として機能しています。CursorやWindsurfのようなAI搭載フォークはMicrosoftのプラットフォームを使用できないため、Open VSXはこれらの互換性のある拡張機能のコミュニティ主導型レジストリとして利用されています。
事態の経緯と「GlassWorm」攻撃
漏洩したトークンの一部は、数日後に「GlassWorm」と名付けられたマルウェアキャンペーンで使用されました。Koi Securityの研究者たちによると、GlassWormは目に見えないUnicode文字内に隠された自己増殖型マルウェアを展開し、開発者の認証情報を盗み、到達可能なプロジェクト全体で連鎖的な侵害を引き起こそうとしたと報告されています。これらの攻撃は、49の拡張機能から暗号通貨ウォレットデータも標的としており、攻撃者の動機が金銭的利益であった可能性が高いことを示しています。
Open VSXチームとEclipse Foundationは、このキャンペーンと漏洩したトークンに関するブログ記事を公開し、GlassWormは実際には自己増殖型ではなかったものの、開発者の認証情報を標的としていたことを述べました。「問題のマルウェアは、開発者の認証情報を盗むように設計されており、それによって攻撃者のリーチを拡大する可能性がありましたが、システムやユーザーのマシンを通じて自律的に伝播することはありませんでした」とOpen VSXチームは説明しています。「また、報告された35,800というダウンロード数は、ボットによって生成された水増しされたダウンロードや、脅威アクターが使用した可視性向上戦術が含まれているため、実際の被害ユーザー数を過大評価していると考えています。」
Open VSXの対応とセキュリティ強化策
それにもかかわらず、この脅威は通知後すぐに封じ込められ、10月21日までにすべての悪意のある拡張機能がOpen VSXレジストリから削除され、関連するトークンはローテーションまたは失効されました。Open VSXは、このインシデントが完全に封じ込められ、現在進行中の影響はないことを確認しており、将来の攻撃を防ぐための追加のセキュリティ対策を実装する予定です。これらのセキュリティ強化策は以下の通りです。
- 露出の影響を軽減するため、トークンの有効期間を短縮する。
- 漏洩した認証情報に対するより迅速な失効ワークフローを導入する。
- 公開時に拡張機能の自動セキュリティスキャンを実行する。
- 脅威インテリジェンスを共有するため、VS Codeおよび他のマーケットプレイスと協力する。
脅威の継続とGitHubへの移行
BleepingComputerは、Eclipse Foundationに合計でいくつのトークンがローテーションされたかを問い合わせましたが、すぐに声明は得られませんでした。一方、Aikidoは、GlassWormの背後にいる同じ脅威アクターが現在GitHubに移行しており、同じUnicodeステガノグラフィーの手法を用いて悪意のあるペイロードを隠していると報告しました。研究者たちは、この操作がすでに複数のリポジトリに広まっており、そのほとんどがJavaScriptプロジェクトに焦点を当てていると報告しています。GitHubへの移行は、脅威が依然として活動しており、露出後もオープンソースエコシステムを迅速に移動していることを示しています。