概要:開発者ツールを狙う新たな脅威「SleepyDuck」
セキュリティ研究者たちは、Open VSX IDE拡張機能マーケットプレイスに潜む危険なリモートアクセス型トロイの木馬「SleepyDuck」を発見しました。このマルウェアは、CursorやWindsurfといったコードエディタを使用する開発者を標的としており、特にSolidityプログラミング言語のヘルパーを装っていました。悪意のある拡張機能「juan-bianco.solidity-vlang」は、悪性ペイロードが注入されるまでに14,000回以上ダウンロードされており、開発ツールを狙ったサプライチェーン攻撃の深刻さを示しています。
「SleepyDuck」の巧妙な感染手口
この攻撃は二段階で展開されました。拡張機能は当初、10月31日に無害なツールとして公開されました。しかし、11月1日には、開発者がバージョン0.0.8への重要なアップデートをプッシュし、リモートアクセス機能を導入しました。この遅延型アクティベーション戦略により、マルウェアは検出される前に数千ものシステムに足がかりを築くことができました。その後のアップデートでは、開発者がコードエディタを開いたり、Solidityファイルを操作したりするたびに、より頻繁にトリガーされるように拡張機能のアクティベーションイベントが変更され、持続的な実行が保証されました。
驚異的な回避能力と持続性
SleepyDuckは、従来のマルウェアを超えた高度なエンジニアリングを特徴としています。この拡張機能は、サンドボックス検出機能や、セキュリティ研究者によるリバースエンジニアリングを妨害する解析対策を含む複数の回避技術を採用しています。アクティベーションされると、マルウェアはホスト名、ユーザー名、MACアドレス、タイムゾーンなどの重要なシステム情報を収集し、コマンド&コントロール(C2)サーバーとの通信を確立します。
SleepyDuckの設計で最も懸念される点は、従来のテイクダウン操作に対する回復力です。攻撃者は11月1日19:14:54 UTCに主要なC2ドメイン「sleepyduck.xyz」を登録しましたが、このサーバーが押収またはオフラインになることを予期し、ブロックチェーンベースのフェイルオーバーメカニズムを実装していました。マルウェアはイーサリアムスマートコントラクトと通信して更新されたC2アドレスを取得するため、法執行機関やホスティングプロバイダーが主要なインフラを停止させても、機能が継続されるようになっています。このコントラクトは10月31日にデプロイされ、すでに5回のトランザクションでC2サーバーアドレスが更新されており、キャンペーンが活発に管理されていることを示しています。拡張機能は30秒ごとにC2サーバーと通信するポーリングループを作成し、常に新しい指示をチェックしています。この持続的な通信チャネルにより、攻撃者は侵害されたシステム上で任意のコマンドを実行でき、通常は機密性の高いソースコードや認証情報を含む開発者マシンへのリモートアクセスを効果的に許可します。
開発者コミュニティへの継続的な脅威
SleepyDuck事件は、Solidity開発コミュニティを標的とした長期にわたるキャンペーンの最新章に過ぎません。セキュリティ研究者たちは、2025年7月以降、Open VSXおよびVisual Studio Codeマーケットプレイスで、正規のSolidityツールを装った少なくとも20の悪意のある拡張機能を追跡してきました。これらの拡張機能は、ますます巧妙な名前詐称技術を採用しており、開発者がマーケットプレイスを閲覧する際に悪意のある拡張機能と正規の拡張機能を区別することを極めて困難にしています。SleepyDuckの背後にいる同一の作者は、以前にもマーケットプレイスから削除された2つの悪意のあるSolidity拡張機能を公開しており、常習犯であることが示唆されています。この歴史的背景は、攻撃者がかなりの技術的専門知識を持ち、以前の削除措置にもひるんでいないことを示唆しています。
対策と推奨事項
コードエディタとその関連する拡張機能マーケットプレイスに依存する組織は、これらの攻撃から重大なリスクに直面しています。セキュリティ研究者は、インストールされている拡張機能のインベントリを維持し、開発環境が侵害される前に既知の悪意のあるパッケージをブロックできる拡張機能管理ソリューションの導入を推奨しています。SleepyDuckに対するセキュリティコミュニティの迅速な対応は、継続的な監視の重要性を示していますが、個々の開発者や組織も、開発サプライチェーンを標的とする同様の脅威からインフラを保護するためにプロアクティブな対策を講じる必要があります。