Glasswormマルウェア、OpenVSXとVS Codeを標的とする新たな脅威
2025年12月2日、セキュリティ研究者らは、Microsoft Visual Studio MarketplaceとOpenVSXプラットフォームを標的とした新たなソフトウェアサプライチェーン攻撃の波を特定しました。「Glassworm」マルウェアキャンペーンに関連する24の新たな悪性パッケージがSecure Annexの研究者によって発見され、攻撃者が開発環境に侵入する手口がエスカレートしていることを示しています。
巧妙な欺瞞戦術とマーケットプレイスの悪用
この1週間で、セキュリティ研究者たちは、高度な欺瞞戦術を用いる前例のない拡張機能群を特定しました。これらのパッケージは、何百万もの開発者が使用している人気のある正規の拡張機能とほぼ同一のクローンです。攻撃者は特に、Flutter、Tailwind、Vim、Yaml、Svelte、React Native、Vueといった広く利用されているフレームワークやツールを標的としています。
欺瞞は単純な名称の類似性を超えています。分析によると、これらの拡張機能が公開されると、攻撃者はインストール数を人為的に操作します。これにより、新しい悪性拡張機能が瞬時に数千件のダウンロード数を表示し、不当な信頼性を獲得します。Visual Studio Codeのユーザーインターフェースでは、これらの不正な拡張機能が正規の拡張機能と隣接して表示されることが多く、操作されたソーシャルプルーフ(社会的証明)により、安全なインストールと侵害されたシステムとの違いは、開発者による不注意なクリック一つにかかっています。
進化する攻撃手法:「ベイト・アンド・スイッチ」とRustベースのインプラント
Glasswormキャンペーンの技術的な実行は、マーケットプレイス回避における憂慮すべき進化を示しています。攻撃者は「ベイト・アンド・スイッチ」の手法を利用し、拡張機能は多くの場合、自動フィルターを通過させるために当初は無害なコードとして公開されます。承認されると、それらは悪性ペイロードで更新されます。この悪性コードは、拡張機能のアクティベーションコンテキストの直後に注入されることが多く、初期の防御をすり抜けることを可能にします。
攻撃技術も進化しており、目に見えないUnicode文字の使用から、拡張機能内に直接埋め込まれたより複雑なRustベースのインプラントへと移行しています。
開発者へのサプライチェーンリスクと対策
このキャンペーンは孤立した事件ではなく、Nextron Systems、Koi.ai、Aikidoを含む複数のセキュリティ組織が追跡している広範なトレンドの一部です。これらのグループは、既知の攻撃シグネチャと検出パターンにもかかわらず、攻撃者がマルウェアを主要なマーケットプレイスに正常に公開し続けていることを指摘しています。
VS Marketplaceのiconkieftwo.icon-theme-materiallからOpen VSXのvitalik.solidityまで、特定された24のパッケージは重大なリスクをもたらします。Glasswormの持続性は、現在のマーケットプレイススキャナーが、これらの迅速で反復的な回避技術に追いつくのに苦慮していることを示唆しています。
Secure Annexは、これらの発見に対応して、インストールされている拡張機能をインベントリし、既知の脅威からユーザーを保護するために設計された「Secure Annex Extension Manager」をリリースしました。しかし、エンジニアリングチームへの喫緊の助言は警戒です。多くの拡張機能が攻撃の準備段階にあるか、または最新のアップデートに積極的にマルウェアを含んでいることが判明しています。Glasswormキャンペーンが反復を続ける中、開発者はインストールされている拡張機能を監査し、検証済みの発行元に頼ることでコーディング環境を保護するよう強く促されています。