概要
サイバー攻撃者は、2026年2月27日から28日にかけて、OpenVSXのAqua Trivy VS Code拡張機能に不正なバージョン1.8.12と1.8.13を公開し、ローカルAIコーディングツールを乗っ取るためのシステム調査やデータ漏洩を行う悪意のあるプロンプトを注入しました。
Aqua Trivyとは
Aqua Trivyは、人気のあるオープンソースの脆弱性スキャナで、VS Code拡張機能も提供しています。これは、OpenVSXのaquasecurityofficialアカウントでホストされています。
攻撃の詳細
この攻撃は、「hackerbot-claw」という名前のAIボットキャンペーンの一環として実行され、GitHub Actionsを標的としました。StepSecurityは、攻撃者がトークンを盗み、リポジトリを乗っ取り、悪意のあるアーティファクトをプッシュした方法について詳細を説明しています。
タイムライン
- 2月27日, 2026年 UTC 12:04: バージョン1.8.12がOpenVSXに公開されました。
- 2月28日, 2026年 UTC 16:28: バージョン1.8.13が公開されました。
- 2月28日, 2026年 UTC 18:18: Socket SecurityはAqua Securityに問題を報告しました。
- 2月28日, 2026年 UTC 22:10: SocketがOpenVSXのパブリッシャー(元のAqua社員)と連絡を取りました。
- 2月28日, 2026年 UTC 22:46: 不正なバージョンが削除され、公開トークンが無効化されました。攻撃者が作成した偽のGitHubアドバイザリGHSA-8mr6-gf9x-j8qgも確認されました。
不正コードの詳細
不正なバージョンには、公式GitHubリポジトリaquasecurity/trivy-vscode-extensionや以前のビルド1.8.11に存在しないコードが追加されていました。これらのコードは、ワークスペースアクティベーション関数pl()を通じて実行され、5つのAI CLIを起動しました。
- クレード(–dangerously-skip-permissions –add-dir /)
- コデックス(–ask-for-approval never –sandbox danger-full-access)
- ジェミナイ(–yolo)
- コパイロット(–autopilot –yolo)
- キロ(–no-interactive)
これらのプロセスは、標準入出力を無視し、エラーを吸収しながらバックグラウンドで実行されました。
対策と影響
- 1.8.12: 2,000単語のプロンプトを使用し、AIを「法医学的エージェント」として設定しました。これにより、システム全体でコンポーネントや資格情報を調査し、メールやSlackなどのすべてのチャネルを通じてデータを漏洩させました。
- 1.8.13: ツール、トークン、ファイルシステムに焦点を当て、GitHub CLIを使用してposture-report-trivyリポジトリを作成し、その中で見つかった問題を報告しました。
これらの攻撃は、ワークスペースが開かれたときに実行されましたが、posture-report-trivyリポジトリの存在は確認されていません。それでも、資格情報の盗難やデータ漏洩などのリスクがありました。
対策
- 1.8.12/1.8.13をアンインストールする。
- 拡張機能の履歴を確認し、不審なリポジトリがないかチェックする。
- シェル履歴やAIログをレビューし、必要な資格情報を回復する。
結論
この攻撃は、AI支援のサプライチェーンリスクを示しています。拡張機能に隠れた行動がないかスキャンすることが重要です。