GlassWormマルウェアがOpenVSXに再来
昨年、OpenVSXおよびVisual Studio Codeマーケットプレイスに影響を与えたGlassWormマルウェアキャンペーンが、3つの新たなVSCode拡張機能と共に再び出現しました。これらの拡張機能はすでに10,000回以上ダウンロードされています。
GlassWormは、Solanaトランザクションを利用して、GitHub、NPM、OpenVSXのアカウント認証情報、および49の拡張機能から暗号通貨ウォレットデータを標的とするペイロードをフェッチするマルウェアキャンペーンです。このマルウェアは、目に見えないUnicode文字を悪用し、空白としてレンダリングされながらもJavaScriptとして実行され、悪意のあるアクションを促進します。
過去のGlassWormキャンペーンとOpenVSXの対応
GlassWormは当初、MicrosoftのVS CodeおよびOpenVSXマーケットプレイスで12の拡張機能を介して出現し、合計35,800回ダウンロードされたとされています。しかし、このダウンロード数は脅威アクターによって水増しされた可能性があり、キャンペーンの全容は不明でした。
この侵害に対応し、OpenVSXはGlassWormによって侵害された多数のアカウントのアクセストークンをローテーションし、セキュリティ強化策を講じ、このインシデントを「クローズ済み」と発表していました。
新たな攻撃の詳細
キャンペーンを追跡しているKoi Securityによると、攻撃者は同じインフラを使用しつつ、更新されたコマンド&コントロール(C2)エンドポイントとSolanaトランザクションを用いてOpenVSXに再来しました。GlassWormペイロードを搭載した3つのOpenVSX拡張機能は以下の通りです。
- ai-driven-dev.ai-driven-dev — 3,400ダウンロード
- adhamu.history-in-sublime-merge — 4,000ダウンロード
- yasuyuky.transient-emacs — 2,400ダウンロード
Koi Securityは、これら3つの拡張機能すべてが、元のファイルと同じ不可視Unicode文字による難読化トリックを使用していると報告しています。これは、OpenVSXが新たに導入した防御策を依然として回避できることを示しています。
Aikidoが以前報告したように、GlassWormの運営者は先月の露呈によって抑止されることなく、すでにGitHubに軸足を移していましたが、新たな拡張機能を介してOpenVSXに戻ってきたことは、複数のプラットフォームでの活動再開の意図を示しています。
攻撃インフラの露呈と被害状況
匿名の情報提供により、Koi Securityは攻撃者のサーバーにアクセスし、このキャンペーンによって影響を受けた被害者に関する重要なデータを取得することができました。取得されたデータは、米国、南米、ヨーロッパ、アジア、そして中東の政府機関を含む世界的な広がりを示しています。
運営者自身については、Koi Securityは彼らがロシア語を話し、オープンソースのC2ブラウザ拡張フレームワークであるRedExtを使用していると報告しています。研究者たちは、複数の暗号通貨取引所およびメッセージングプラットフォームのユーザーIDを含むすべてのデータを法執行機関と共有しており、影響を受けた組織への情報提供計画が調整されています。
Koi SecurityはBleepingComputerに対し、これまでに60の異なる被害者を特定したと述べていますが、これは単一の露呈したエンドポイントから取得された部分的なリストに過ぎないとしています。
現状と開発者への注意喚起
本稿執筆時点では、GlassWormペイロードを含む3つの拡張機能は、依然としてOpenVSXでダウンロード可能です。開発者やユーザーは、これらの拡張機能の利用に最大限の注意を払い、不審な挙動がないか常に監視することが求められます。