サイバーニュース.jp

世界のサイバーなニュースを配信

150万件インストールされた悪意あるVS Code AI拡張機能が開発者のソースコードを盗用、JavaScriptパッケージマネージャーにもゼロデイ脆弱性「PackageGate」

カテゴリ:

概要:開発者データ流出と新たなサプライチェーンの脅威

サイバーセキュリティ研究者らは、Microsoft Visual Studio Code (VS Code) の公式マーケットプレイスで提供されている、2つの悪意あるAIコーディングアシスタント拡張機能を発見しました。これらの拡張機能は、合計150万件以上のインストールがありながら、開発者のソースコードを中国に拠点を置くサーバーに密かに流出させていたことが判明しました。このキャンペーンは「MaliciousCorgi」と名付けられ、両拡張機能は同一の悪意あるコードとスパイウェア基盤を共有しています。

また、同時にサプライチェーンセキュリティ企業Koi Securityは、JavaScriptパッケージマネージャー(npm、pnpm、vlt、Bun)における6つのゼロデイ脆弱性「PackageGate」を特定しました。これは、パッケージインストール時のセキュリティ制御を迂回し、悪意あるスクリプトの実行を可能にする恐れがあります。

悪意あるVS Code拡張機能の詳細

開発者データを盗用していたのは以下の2つの拡張機能です。

  • ChatGPT – 中文版 (ID: whensunset.chatgpt-china) – 1,340,869件のインストール
  • ChatGPT – ChatMoss(CodeMoss) (ID: zhukunpeng.chat-moss) – 151,751件のインストール

これらの拡張機能は、オートコンプリートの提案やコーディングエラーの解説といった宣伝通りの機能を提供するため、ユーザーは悪意に気づきにくい状況でした。しかしその裏で、開かれたファイルの内容やソースコードの変更をすべて捕捉し、Base64形式でエンコードして中国のサーバー「aihao123[.]cn」に送信していました。このデータ流出は、編集が行われるたびにトリガーされます。

さらに、サーバーからリモートで起動できるリアルタイム監視機能も備わっており、ワークスペース内の最大50個のファイルを流出させることが可能です。また、ウェブビューには隠されたゼロピクセルのiframeが存在し、Zhuge.io、GrowingIO、TalkingData、Baidu Analyticsという中国の主要なアナリティクスSDKをロードして、デバイスのフィンガープリント採取や詳細なユーザープロファイルの作成に利用していました。

JavaScriptパッケージマネージャーの「PackageGate」脆弱性

今回の報告では、JavaScriptのエコシステムにおける新たな脅威も明らかにされました。Koi Securityは、npm、pnpm、vlt、Bunといった主要なJavaScriptパッケージマネージャーに存在する6つのゼロデイ脆弱性を発見し、「PackageGate」と総称しました。これらの脆弱性は、パッケージインストール時にライフサイクルスクリプトの自動実行を無効化する「--ignore-scripts」や、整合性チェックを行う「package-lock.json」といった、サプライチェーン攻撃対策として重要な防御メカニズムを迂回する可能性があります。

これは、npmトークンを乗っ取って悪意あるパッケージを公開する「Shai-Hulud」のような攻撃を防ぐために不可欠とされてきた防御策が、完全ではないことを示唆しています。

ベンダーの対応と今後の課題

PackageGateの脆弱性に対し、pnpmはバージョン10.26.0で、vltはバージョン1.0.0-rc.10で、Bunはバージョン1.3.5でそれぞれ修正を行いました。pnpmは、CVSSスコア8.8の「CVE-2025-69264」と、CVSSスコア7.5の「CVE-2025-69263」としてこれらの脆弱性を追跡しています。

一方でnpmは、この脆弱性の修正を見送る選択をし、「ユーザーはインストールを選択するパッケージの内容を精査する責任がある」との見解を示しました。しかし、npmを所有するGitHubは、この問題に対処するために積極的に取り組んでおり、レジストリ内のマルウェアスキャンを強化しています。GitHubは、git経由で依存関係をインストールする際には、ユーザーはそのリポジトリ全体(設定ファイルを含む)を信頼することになる点を強調し、信頼できる公開方法と、2要素認証(2FA)が強制される細分化されたアクセストークンの採用を推奨しています。すでに、2025年9月以降、レガシーなクラシックトークンは非推奨となり、細分化された公開権限を持つトークンの有効期限が短縮され、ローカルパッケージ公開時の2FAバイパスオプションが削除されています。

開発者への推奨事項

セキュリティ研究者のオレン・ヨムトフ氏は、「スクリプトを無効にし、ロックファイルをコミットするという標準的なアドバイスは依然として従う価値がある」と述べています。しかし、同氏は「それは全体像ではない。PackageGateが完全に解決されるまで、組織はリスクについて独自に情報に基づいた選択をする必要がある」と指摘し、開発者や組織が自己責任でリスクを評価し、適切な対策を講じることの重要性を強調しています。

元記事: https://thehackernews.com/2026/01/malicious-vs-code-ai-extensions-with-15.html

投稿をさらに読み込む