はじめに
VS Code向け拡張機能マーケットプレイス「OpenVSX」および「Microsoft Visual Studio Marketplace」において、悪名高い「Glassworm」マルウェアの第三波が確認されました。過去に幾度となく開発者の脅威となってきたこのマルウェアは、新たに24の悪意あるパッケージを両プラットフォームに投下し、再び深刻なセキュリティリスクをもたらしています。
Glasswormマルウェアの概要と過去の経緯
「Glassworm」は、10月20日にKoi Securityによって初めて文書化されたマルウェアで、その特徴は「不可視のUnicode文字」を利用して悪意あるコードを巧妙に隠蔽する点にあります。開発環境に一度インストールされると、GitHub、npm、OpenVSXのアカウント情報、さらには49種類もの拡張機能から仮想通貨ウォレットデータを窃取しようと試みます。さらに、被害者のマシンを介して悪意あるトラフィックをルーティングするためのSOCKSプロキシを展開し、攻撃者にステルスなリモートアクセスを可能にするHVNCクライアントをインストールします。
最初の感染はマーケットプレイスから削除されたものの、すぐに新しい拡張機能と発行者アカウントを使って両サイトに再出現しました。Open VSXは以前、このインシデントは完全に収束したと宣言し、侵害されたアクセストークンのローテーションを実施していました。
第三波の詳細と手口
今回の第三波の再出現は、Secure Annexの研究者John Tuckner氏によって発見されました。新しく登場したパッケージ名から、Flutter、Vim、Yaml、Tailwind、Svelte、React Native、Vueといった人気のある開発ツールやフレームワークを幅広く標的にしていることが伺えます。
- VS Marketplaceの例: iconkieftwo.icon-theme-material、prisma-inc.prisma-studio-assistance、prettier-vsc.vsce-prettier など
- Open VSXの例: bphpburn.icons-vscode、tailwind-nuxt.tailwindcss-for-react、flutcode.flutter-extension など
攻撃者は、マーケットプレイスにパッケージが承認されると、悪意あるコードを導入するアップデートをプッシュします。その後、ダウンロード数を人為的に水増しして、正規かつ信頼できるものに見せかけます。このダウンロード数の不正操作は、検索結果を歪め、悪意ある拡張機能が正規プロジェクトのすぐ近くに上位表示される原因となります。
技術的進化と今後の動向
Secure Annexの報告によると、「Glassworm」は技術面でも進化を遂げており、現在は拡張機能内にRustベースのインプラントを使用しています。以前から用いられていた不可視のUnicode文字による隠蔽手法も、一部のケースで引き続き利用されています。
BleepingComputerは、OpenVSXとMicrosoftに対し、Glasswormが引き続き防御を回避できる現状について問い合わせを行っており、両プラットフォームからの回答が待たれます。開発者は、VS Codeの拡張機能をインストールする際には、発行元、ダウンロード数、およびレビューを慎重に確認するなど、一層の注意が必要です。