Open VSXのVS Code拡張機能に高度なマルウェアが潜伏
セキュリティ研究機関であるAnnex Securityは、Open VSXレジストリで人気の高い「Angular Language Service」を装った悪意のあるVS Code拡張機能を発見しました。この拡張機能はわずか2週間で5,066回もダウンロードされ、その後、高度なマルウェアをアクティベートしていたことが明らかになりました。これは開発者にとって深刻なサプライチェーンリスクをもたらします。
この悪意ある拡張機能は、正当なAngularツール(@angular/language-service 21.1.0-rc.0)とTypeScript 5.9.3をバンドルしている一方で、extension/index.jsファイル内に悪質なコードを隠していました。
偽装と巧妙な検出回避メカニズム
マルウェアは、package.jsonのアクティベーションイベント、特に「onLanguage:html」および「onLanguage:typescript」を通じて、HTMLまたはTypeScriptファイル上でトリガーされます。アクティベーション後、Node.jsのcryptoモジュールとAES-256-CBCを使用してペイロードを復号化します。
特筆すべきは、ペイロードの実行前に500ミリ秒の遅延が設けられている点です。この遅延は、基本的なサンドボックス環境での検出を回避するためのものであり、その後ペイロードはVS Code APIへのフルアクセス権を持って実行されます。
SolanaブロックチェーンをC2インフラとして悪用
復号化されたステージ1ペイロードは、Solanaメインネットのアドレス「BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC」をクエリします。ここで、メモフィールドからBase64エンコードされたURLを抽出するという「Etherhiding」と呼ばれる手法が用いられています。この技術は、不変性、高可用性、匿名性、そしてテイクダウン耐性といった利点を持ち、従来のC2インフラよりもはるかに検出が困難です。
2026年1月28日(UTC)時点で、メモは「hxxp://217.69.11.57/VAM%2Fkax5vb7d%2FkU7RDft8A%3D%3D」とデコードされました。このアドレスは過去1ヶ月で10回の更新があり、動的なペイロード変更を可能にしていることが判明しています。
- 拡張機能ID:
angular-studio.ng-angular-extension - Solanaアドレス:
BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC(C2メモフィールド) - C2 IP:
217.69.11.57(ステージ2ペイロードサーバー) - C2 IP:
108.61.208.161(データ漏洩エンドポイント)
ロシア語圏を回避するジオフェンシング機能
ペイロードをフェッチする前に、マルウェアはロシアのロケールをチェックし、検出を回避します。ユーザー名、LANG変数、タイムゾーン、UTCオフセット(+2~+12時間)をスキャンし、ロシア関連のマルウェアによく見られるパターンに一致した場合、実行を終了します。
永続化と開発資産の窃取
マルウェアは、ユーザーのホームディレクトリ(Windowsでは%APPDATA%など)にinit.jsonを作成して実行を追跡し、48時間ごとにタイムスタンプを更新します。プラットフォーム検出後、macOSまたはVMサンドボックス環境向けにルートされ、HTTPヘッダーからのキーで暗号化されたペイロードを取得します。
最終段階では、以下のような開発者の資格情報や資産を窃取し、サプライチェーン攻撃に利用します。
- NPM/GitHubの盗難:
.npmrcトークン、環境変数、git認証情報、VS Code OAuthストレージをダンプし、APIピングで検証。 - 暗号ウォレット: MetaMask、Phantomなど60種類以上をスキャンし、Chrome/Firefoxを強制終了してデータベースを窃取。
- 永続化: 隠しNode.jsバイナリ、スケジュールされたタスク「UpdateApp」、レジストリRunキーを展開。
- データ漏洩: データをZIP圧縮し、
108.61.208.161へPOST。Google Calendarを利用して動的にC2を更新。
開発者への深刻な影響と推奨される対策
数週間の露出期間があるため、感染したAngular開発者はNPMパッケージやGitHubリポジトリが侵害されるリスクに直面しています。Annexは、この脅威がShai Huludのような過去の攻撃に由来し、自己増殖を引き起こす可能性があると警告しています。
Open VSXのセキュリティ管理の緩さがこのような脅威を可能にしているため、組織は拡張機能を積極的にスキャンする必要があります。研究者は、悪意のある拡張機能の即時アンインストールと、すべての資格情報のローテーションを強く推奨しています。Annex Securityは、検証のためのペイロード復号化サービスも提供しています。