概要
サイバーセキュリティ研究者は、GlassWormキャンペーンの新しい展開を警告しました。このキャンペーンは、Open VSXレジストリを通じて悪意のある拡張機能を配布する方法を「大幅に拡大」しています。
GlassWormキャンペーンの最新展開
Socketは、2026年1月31日以来、少なくとも72の悪意のあるOpen VSX拡張機能が開発者を標的としていると報告しています。これらの拡張機能は、lintersやフォーマッタ、コードランナー、Clade CodeやGoogle AntigravityのようなAIを活用したコーディングアシスタントツールを模倣しています。
攻撃の手法
攻撃者は、extensionPackとextensionDependenciesを悪用して、最初は単独で見える拡張機能を後続の更新でトランジティブな配布手段に変えることで、信頼が既に確立された後に別のGlassWorm関連の拡張機能を引き始めるようにしています。
影響
これらの拡張機能は、開発者が日常的に使用するユーティリティを模倣しており、開発者がそれらをインストールする可能性があります。これにより、開発者のシステムが攻撃者のコマンド&コントロール(C2)サーバーに接続され、秘密情報や暗号通貨ウォレットが盗まれる可能性があります。
対策
Open VSXは、これらの悪意のある拡張機能をレジストリから削除する措置を講じています。開発者は、信頼できるソースからソフトウェアをインストールし、更新を常に最新の状態に保つことを推奨します。
関連情報
Aikidoは、GlassWorm脅威アクターがオープンソースリポジトリを横断して広がる大規模なキャンペーンに関連していると指摘しています。攻撃者は、不可視Unicode文字を使用してリポジトリにペイロードを注入しています。
まとめ
これらの攻撃は、ソフトウェア供給チェーンの脆弱性を悪用しており、開発者は常に注意を払う必要があります。信頼できるソースからのソフトウェアインストールと更新の管理が重要です。
元記事: https://thehackernews.com/2026/03/glassworm-supply-chain-attack-abuses-72.html