サイバーニュース.jp

世界のサイバーなニュースを配信

VSCode Marketplaceを襲った偽Prettier拡張機能:Anivia Stealerの脅威

カテゴリ:

概要:VSCode Marketplaceにおけるマルウェア拡散事件

先日、Visual Studio Code (VSCode) Marketplaceにおいて、人気フォーマッターである「Prettier」を装った悪意のある拡張機能が短期間ながら出現し、開発者を標的としたAnivia Stealerマルウェアを拡散する事件が発生しました。この偽拡張機能は、開発者のシステムからログイン情報やプライベートデータを窃取することを目的としていました。しかし、Checkmarx Zeroの研究チーム(Daniel Miranda氏とRaphael Silva氏)の迅速な監視とVSCode Marketplaceセキュリティチームとの緊密な連携により、この拡張機能は出現からわずか4時間で特定、報告、削除されました。削除されるまでに記録されたダウンロード数はわずか6件、インストール数は3件と、その影響は最小限に抑えられました。

攻撃の手口:巧妙な偽装と多段階感染プロセス

この悪意ある拡張機能は、正規のPrettier拡張機能(esbenp.prettier-vscode)を直接フォークしたもので、攻撃者の多段階ペイロードシステムを組み込むための微調整が加えられていました。信頼されているPrettierツールのブランド、説明、スタイルを綿密に模倣することで、攻撃者は人気のある生産性ツールを装い、開発者を欺いてマルウェアをインストールさせようとしました。

「prettier-vscode-plus」と名付けられたこの悪意のある拡張機能の分析により、標準的なセキュリティスキャナーを回避するために設計された洗練された多段階感染プロセスが明らかになりました。

  • ペイロードの取得:拡張機能は、リモートのGitHubリポジトリから暗号化されたBase64エンコードされたペイロードを取得します。
  • 一時的な実行拠点:VBScript(VBS)をシステムの%TEMP%ディレクトリに書き込み、これを実行後、フォレンジックトレースを減らすために即座にファイルを削除します。
  • インメモリ実行:VBSスクリプトはPowerShellコマンドをトリガーし、静的AESキー(AniviaCryptKey2024!32ByteKey!HXX)を使用してペイロードを復号します。最終的なマルウェアバイナリはディスクに書き込まれず、[Reflection.Assembly]::Loadメソッドを介してメモリに直接ロードされ、Anivia Stealerに共通するエントリポイント「Anivia.AniviaCRT」を呼び出します。
  • アンチサンドボックス回避:低CPUカウントや最小限のRAMを検出するなど、基本的なアンチ分析チェックを組み込むことで、サンドボックス化されたテスト環境を回避します。

このステルス性の高い展開方法は、攻撃を促進するための一時的なファイルを除き、ほとんどディスク上に証拠を残さないことを確実にします。

Anivia Stealer:標的となるデータとその影響

一度実行されると、Anivia Stealerはログイン情報だけでなく、システムメタデータやWhatsAppチャットなどのプライベート情報まで窃取します。これは、侵害されたシステムから専門的なデータと個人的なデータの両方を窃取する意図があることを示しています。

今後の対策と開発者への推奨事項

今回の事件は、公式なマーケットプレイスでさえも、悪意のあるソフトウェアサプライチェーン攻撃による継続的な脅威が存在することを浮き彫りにしています。同様のキャンペーンから身を守るために、以下の対策が推奨されます。

  • インストール前の確認:拡張機能は信頼できるソースからのみダウンロードし、たとえ見慣れた名前であっても、不審な発行元情報や最近の異常な更新がないか厳しく scrutinize(精査)してください。
  • エンドポイント保護の導入:EDR(Endpoint Detection and Response)ソリューションを導入し、インメモリペイロード配信や窃取活動を示す挙動を検出・ブロックできるようにしてください。
  • 外部拡張機能の制限:特に企業環境においては、VSCode Marketplace以外から直接提供されていない拡張機能のインストールを制限するポリシーを検討してください。

Checkmarx Zeroは引き続きVSCode Marketplaceを積極的に監視し、不審な拡張機能を分析し、新たな脅威を報告しています。Microsoftのマーケットプレイスセキュリティチームも迅速に対応し、迅速な削除と露出期間の短縮に貢献しています。しかし、攻撃者が公式マーケットプレイス以外のチャネルを通じてこれらの脅威を配布する可能性もあるため、継続的な警戒が不可欠です。プロアクティブな研究とタイムリーな報告、コミュニティへの教育を組み合わせることで、このような事件を迅速に封じ込め、開発者エコシステムを新たなマルウェアの脅威から安全に保つことができます。

元記事: https://gbhackers.com/vscode-marketplace-2/

投稿をさらに読み込む