概要:見えない脅威「GlassWorm」の出現
2025年10月17日に初めて確認された「GlassWorm」は、OpenVSXマーケットプレイスのVS Code拡張機能を標的とする、世界初の自己増殖型ワームです。この脅威は、目に見えない悪意のあるペイロードと分散型コマンド&コントロール(C2)インフラストラクチャを利用し、検出や無力化を極めて困難にしています。GlassWormは、開発者のマシンを乗っ取り、認証情報を窃取し、仮想通貨ウォレットを空にし、感染したシステムを犯罪者のプロキシノードに変貌させます。そのC2基盤には、ブロックチェーンとGoogleカレンダーが利用されており、停止不能な特性を持っています。
「グラスコード」:不可視の悪意あるペイロード
GlassWormの最も革新的な点は、印刷不可能なUnicode異体字セレクタを使用して、VS Code拡張機能パッケージに悪意のあるJavaScriptを埋め込むことです。これにより、コードに目に見える痕跡を残しません。例えば、侵害されたCodeJoy拡張機能(バージョン1.8.3)では、ソースコード内の何百もの空白行がIDEや差分ツールでは空に見えますが、実際には実行可能なコードを含んでいます。これらの特殊なUnicode文字は、静的スキャナーや人間のレビュー担当者には無視されますが、JavaScriptエンジンによって解析されるため、ワームは疑われることなく実行されます。この「グラスコード」は、人間のコードレビューが隠れた脅威を検出できるという長年の前提を打ち破り、攻撃者が目に見えないマルウェアを単一のアップデートで何千ものユーザーに配布することを可能にします。
分散型コマンド&コントロール(C2)の仕組み
不可視のペイロードが実行されると、GlassWormはC2命令のためにSolanaブロックチェーンに接続します。ワームは、ハードコードされたウォレットアドレスからの最近のトランザクションをスキャンし、base64エンコードされたダウンロードリンクを含むメモフィールドを読み取り、次のペイロードを取得します。このアプローチは、不変で分散化された台帳を利用するため、停止または変更することができません。バックアップとして、ワームはGoogleカレンダーのイベントタイトルにエンコードされた代替ペイロードURLを取得し、正当なサービスを悪用してネットワーク制限を回避します。
防御側が既知のIPアドレスやドメイン名をブロックしても、攻撃者は新しいSolanaトランザクションを投稿するか、カレンダーイベントを更新するだけで、感染したシステムに対する継続的な制御を保証します。
ZOMBIモジュールと広範な影響
GlassWormの最終段階は「ZOMBIモジュール」と呼ばれ、完全に機能するリモートアクセス型トロイの木馬(RAT)を展開します。感染したマシンは以下の機能を持つようになります。
- 企業ネットワークを介して犯罪トラフィックをルーティングし、攻撃者の活動を匿名化する隠蔽されたSOCKSプロキシサーバーとして動作。
- NATおよびファイアウォールを通過するピアツーピア制御チャネルのためにWebRTCモジュールを展開。
- 集中型サーバーなしでコマンドを配布するためにBitTorrentのDHTネットワークを利用。
- ユーザーには見えない仮想デスクトップで実行される隠しVNCセッション(HVNC)をインストールし、攻撃者にステルスなデスクトップアクセスを許可。
認証情報(NPMトークン、GitHubおよびGit認証情報、OpenVSXアクセス、49種類の仮想通貨ウォレット拡張機能)の窃取に加え、GlassWormは盗んだトークンを自動的に使用して、新しい拡張機能に悪意のあるアップデートを公開します。この自己複製サイクルは、Shai-Huludのnpmワームの挙動を模倣していますが、目に見えないコードインジェクション、ブロックチェーンC2、多層冗長性、および完全なRAT機能により、はるかに高度化しています。
現状と推奨される対策
このワームは、これまでに7つのOpenVSX拡張機能を侵害し、合計35,800回以上ダウンロードされており、OpenVSXとMicrosoftのVS Codeマーケットプレイスの両方で活動を続けています。執筆時点では、10の拡張機能がGlassWormを配布し続けています。感染した拡張機能の作者は、認証情報の窃取、仮想通貨ウォレットの枯渇、そして知らず知らずのうちにグローバルなプロキシおよびボットネットネットワークへの参加という事態に直面しています。
vscode-theme-seti-folderとgit-worktree-menuの2つの拡張機能作者はクリーンなアップデートを展開しましたが、5つの侵害されたプロジェクトはまだ修正を待っています。
GlassWormの出現は、ソフトウェアサプライチェーン攻撃における危険な進化を示しています。手動コードレビュー、シグネチャベースの検出、集中型テイクダウンといった従来の防御策は、目に見えないコードと分散型C2に対しては効果がありません。企業や開発者は、直ちにインストールされているVS Code拡張機能を監査し、すべての認証情報を失効させてローテーションし、隠れたUnicodeペイロードや異常なネットワーク接続を検出できる高度な行動監視を展開する必要があります。セキュリティツールがこれらの新しいステルス技術に適応するまで、すべての開発者のワークステーションは、犯罪インフラネットワークにおける目に見えないノードとして機能する可能性があります。
GlassWormは、人間のレビューに対する信頼を打ち砕き、停止不能なコマンドチャネルを利用することで、脅威のレベルを引き上げています。ワームが拡散するにつれて、目に見えない脅威に対する防御は、世界中の開発パイプラインを保護するための最優先事項となっています。