TigerJackハッカーが開発者向けマーケットプレイスを標的
「TigerJack」として知られる新たな脅威アクターが、少なくとも11の悪意あるVisual Studio Code拡張機能を用いて開発者向けマーケットプレイスに侵入し、世界中の17,000人以上の開発者を危険にさらしていることが明らかになりました。この洗練されたキャンペーンは2025年初頭から複数のパブリッシャーアカウント(ab-498、498、498-00)で活動しており、ソースコードの窃取、仮想通貨のマイニング、そして完全なシステム制御のためのリモートバックドアの確立を目的としています。
最も成功した悪意ある拡張機能である「C++ Playground」と「HTTP Format」は、数ヶ月間の運用を経てMicrosoftのVS Codeマーケットプレイスから密かに削除されました。しかし、これらの拡張機能はOpenVSXマーケットプレイスでは依然として完全に動作しており、CursorやWindsurfといった代替IDEを使用する開発者への脅威が続いています。さらに懸念されるのは、この作戦の調査中にTigerJackが同じ悪意あるコードをMicrosoftのマーケットプレイスに新しい名前で再公開したことで、この脅威の永続的な性質が浮き彫りになっています。
巧妙な偽装とマルウェアの機能
TigerJackの作戦が特に陰湿なのは、これらの拡張機能が宣伝通りに機能する点にあります。例えば、「HTTP Format」をインストールしてHTTPファイルに適用すると、乱雑なAPIリクエストが美しくフォーマットされます。「C++ Playground」拡張機能も、リアルタイムのコードコンパイル、GoogleのC++スタイルガイドによる自動フォーマット、エラーハイライト、VS Codeとのシームレスな統合など、約束された機能をすべて提供します。開発者にとっては、洗練されたプロフェッショナルグレードのツールに見えるでしょう。しかし、この見せかけの下には洗練されたマルウェアが隠されています。
「C++ Playground」はVS Codeの起動時に自動的にアクティブ化され、すべてのC++ファイルを監視するドキュメント変更リスナーを登録します。キーストロークごとに500ミリ秒の遅延後に機能がトリガーされ、完全なソースコードをab498.pythonanywhere.comやapi.codex.jaagrav.inなどの複数のエンドポイントに送信します。このマルウェアは、検出を回避するためにC++ファイルに対してのみアクティブ化され、画期的なアルゴリズムから企業の専有コードまで、あらゆるものを正確にキャプチャします。
一方、「HTTP Format」拡張機能は異なる攻撃ベクトルを採用しています。正当なHTTPファイルフォーマット機能を提供しながら、感染したマシンを密かに仮想通貨マイニングリグに変えます。この拡張機能にはCoinIMPマイニングサービスの認証情報がハードコードされており、バランス監視、ユーザー管理、仮想通貨引き出しのエンドポイントに接続を確立します。感染した開発者は、CPU使用率の増加によるファンの常時稼働、システムラグ、パフォーマンス低下を経験し、その間にTigerJackは彼らのCPUリソースを乗っ取って利益を得ています。
リモートバックドアアクセス
最も憂慮すべき発見は、「498」パブリッシャーアカウント下の3つの拡張機能にリモートコード実行機能が含まれていることです。これらの拡張機能は、20分ごとに新しいコマンドをチェックし、TigerJackのサーバーから任意のJavaScriptをダウンロードして危険なeval()関数を使用して実行する永続的なバックドアを確立します。このリモートアクセス機能により、TigerJackは標的型マルウェアから、あらゆる攻撃へのオープンな扉へと作戦を転換させます。
TigerJackは、資格情報の窃取、ランサムウェアの展開、企業ネットワークへの侵入ポイントとしての開発者マシンの利用、プロジェクトへのバックドアの注入、リアルタイムでの活動監視など、拡張機能を更新することなく、動的にペイロードをプッシュできます。これは、最大限の柔軟性と制御のために設計された、洗練された攻撃インフラを示しています。
マーケットプレイスのセキュリティの欠陥
TigerJackの作戦は、断片化された開発者向けマーケットプレイスエコシステムの根本的な欠陥を露呈しています。Microsoftは最終的に拡張機能を削除しましたが、ユーザーへの通知は一切なく、17,000人以上の被害を受けた開発者への警告もありませんでした。削除された拡張機能のIDは、目立たないGitHubリポジトリに埋もれているだけでした。
さらに懸念されるのは、両方の悪意ある拡張機能がOpenVSXマーケットプレイスで依然として完全に動作しており、プロフェッショナルな説明、ユーザーレビュー、検証済みバッジが安全性の幻想を生み出していることです。代替マーケットプレイスには事実上セキュリティ検出メカニズムがなく、マルウェアがプラットフォーム間を移動する一方で、開発者は知らず知らずのうちに危険にさらされ続けています。セキュリティがサイロ化されている場合、洗練された脅威アクターはプラットフォーム間のギャップを悪用し、最小限の摩擦で削除されたマルウェアを再公開するだけなのです。