概要
2025年11月下旬、Visual Studio Codeの拡張機能エコシステムを悪用した高度なサプライチェーン攻撃が明らかになりました。これは、脅威アクターが開発者ツールを標的とし、高価値システムへの永続的なアクセスを獲得しようとする傾向を示しています。
11月21日、人気のあるコードフォーマッターPrettierを装った悪意のある拡張機能が公式のVSCodeマーケットプレイスに短期間出現し、わずか4時間以内に削除されました。その短い期間にもかかわらず、セキュリティ研究者がGitHubリポジトリに展開された多段階のマルウェアチェーンを追跡するまでに、少なくとも3つのシステムが侵害されました。
攻撃の詳細
この攻撃は、開発者の信頼を意図的に悪用したものです。「publishingsofficial」というアカウントで公開された偽の「prettier-vscode-plus」拡張機能は、世界中の何百万もの開発者に信頼されている正規のPrettierツールと見分けがつかないように設計されていました。一度インストールされると、Aniviaローダーを配信する慎重に調整された感染シーケンスが開始され、その後、70以上のコマンドモジュールを含むフル機能のリモートアクセスツールキットであるOctoRATを展開しました。
この作戦を担当した脅威アクターは、難読化されたVBScriptペイロードと展開資料をホストするために、意図的に「vscode」と名付けられたGitHubリポジトリを使用しました。この命名は戦略的であり、「vscode」というリポジトリ名は正規の開発者ワークフローにシームレスに溶け込み、ネットワークログや自動セキュリティアラートで疑念を抱かれる可能性は低いと判断されました。
リポジトリのコミット履歴の分析により、11月20日から27日にかけて活発な操作が行われていたことが明らかになりました。この間、脅威アクターはシグネチャベースの検出を回避するためにペイロードのローテーション技術を採用していました。ファイルは立て続けにアップロードおよび削除されており、これは運用セキュリティ意識と継続的なキャンペーンの洗練を示す明確な指標です。
多段階の感染チェーン
感染チェーンは3つの異なる段階で展開されます。
- 第一段階: VBScriptドロッパー
初期ベクターはVBScriptドロッパーを使用し、Base64でエンコードされ、AESで暗号化されたマルウェアを含むPowerShellペイロードを抽出および実行します。このスクリプトは一時ファイルを作成し、セキュリティバイパスフラグ付きで復号化されたペイロードを実行し、法医学的証拠を削除するために自己削除を数秒以内に行います。ドロッパーはファイル操作とコマンド実行のために2つのWindows COMオブジェクトを初期化し、被害者に警告することなくサイレントに実行を続行できるようにします。
- 第二段階: Aniviaローダー
第二段階であるAniviaローダーは、ハードコードされた228,384バイトの暗号化されたペイロードを含むC#実行ファイルです。「AniviaCryptKey2024!32ByteKey!!XX」というAES-256キーを使用して、ローダーはメモリ内で埋め込まれたバイナリ全体を復号化し、プロセスホロウィングを使用して最終ペイロードを正規のvbc.exe(Visual Basic Compiler)バイナリに注入します。この技術により、マルウェアは信頼されたMicrosoft署名プロセス内に隠れ、レピュテーションベースのセキュリティ制御を回避します。
- 第三段階: OctoRAT
第三段階であるOctoRATは、注入後すぐに初期化されます。マルウェアは、Windowsタスクスケジューラを介して「WindowsUpdate」という名前で永続性を確立し、プロセスが終了した場合の迅速な回復を保証する攻撃的な戦略として毎分実行するようにスケジュールされます。
コマンド&コントロール通信を確立する前に、OctoRATはChrome、Firefox、Edgeからブラウザの資格情報(パスワード、自動入力データ、Cookie、閲覧履歴)を即座に収集し、攻撃者のサーバーに送出します。
運用範囲と発見
インターネット全体のスキャンにより、7つ以上の活動中のOctoRATコントロールパネルが特定されました。これらはすべて、侵害されたシステムの管理を容易にする特徴的な「OctoRAT Center – Login」インターフェースをホストしていました。インフラ分析により、Railnet LLCが複数の国でホスティングしていることとの関連が明らかになり、脅威アクターが数十のサーバー間で同一のTLS証明書を再利用していることが判明しました。この証明書ピボットによって発見されたインフラのクラスタリングは、高度に組織化された犯罪活動または複数の脅威アクターに販売されているマルウェア・アズ・ア・サービスを示唆しています。
OctoRATの包括的なコマンドセット(リモートデスクトップ制御、暗号通貨ウォレットの窃盗、WiFi資格情報の抽出、Windowsファイアウォールの無効化、ユーザーアカウント制御のバイパスなど)は、技術的な洗練度を持つ金銭的動機のある攻撃者向けに設計されたツールキットであることを示しています。画面の回転、入力ブロック、タスクバーの非表示などの「嫌がらせ機能」の存在は、脅威アクターがよりスキルが低いオペレーターに脅迫目的で販売している可能性を示唆しています。
対策
以下の指標を通じて攻撃を特定できます。これには、通常のワークフロー外での疑わしいVSCode拡張機能のインストール、Base64およびAESパターンを含むVBS-to-PowerShell実行チェーン、ネットワーク接続を伴う異常なvbc.exeプロセス活動、識別されたOctoRATインフラストラクチャ(ポート8000および7777)への外部通信が含まれます。
開発者は、厳格な拡張機能管理ポリシーを実装し、公式チャネルを通じて拡張機能のパブリッシャーを確認する必要があります。このキャンペーンは、開発者エコシステムを標的とした脅威の進化する状況を浮き彫りにしています。サプライチェーンの侵害、洗練されたマルウェアエンジニアリング、広範なコマンド&コントロール機能の組み合わせは、成熟した脅威アクターまたは機能している犯罪サービスを反映しています。開発者人口を抱える組織は、警戒レベルを高め、エンドポイント検出機能を強化する必要があります。