はじめに
MicrosoftのVisual Studio Code (VSCode) マーケットプレイスにおいて、開発者のマシンに情報窃取マルウェアを感染させる二つの悪質な拡張機能が発見されました。これらの拡張機能は、スクリーンショットの撮影、認証情報や暗号通貨ウォレットの窃取、さらにはブラウザセッションの乗っ取りを行う能力を持っています。
問題の拡張機能は「Bitcoin Black」と「Codo AI」と名付けられており、それぞれカラースキームとAIアシスタントを装っています。これらは全て「BigBlack」という開発者名で公開されていました。記事執筆時点では「Codo AI」はマーケットプレイスに存在していましたが、ダウンロード数は30未満でした。「Bitcoin Black」は1回しかインストールされていませんでした。
悪意ある拡張機能の詳細
Koi Securityの報告によると、「Bitcoin Black」拡張機能は「*」アクティベーションイベントを利用し、VSCodeでのあらゆるアクション時に実行されます。本来テーマには不要なPowerShellコードを実行できる点も、警戒すべき兆候でした。初期バージョンでは、PowerShellスクリプトを使用してパスワード保護されたアーカイブペイロードをダウンロードしていましたが、これは目に見えるPowerShellウィンドウを開くため、ユーザーに警告を与える可能性がありました。しかし、より新しいバージョンでは、バッチスクリプト(bat.sh)に切り替わり、「curl」を呼び出してDLLファイルと実行可能ファイルをダウンロードするようになっています。この活動はウィンドウを非表示にして行われるため、ユーザーが気付くことは困難です。
「Codo AI」は、ChatGPTやDeepSeekを介したコードアシスタンス機能を提供しつつも、悪意あるセクションを内包していました。
情報窃取マルウェアのメカニズム
両拡張機能は、正規のLightshotスクリーンショットツール実行ファイルと、悪意あるDLLファイルを配信します。このDLLファイルはDLLハイジャック技術を介して読み込まれ、「runtime.exe」という名前で情報窃取マルウェアをデプロイします。
この悪意あるDLLは、VirusTotalの72種類のアンチウイルスエンジン中、29種類で脅威として検出されています。
窃取される情報とその手法
このマルウェアは、「%APPDATA%\Local\」内に「Evelyn」というディレクトリを作成し、窃取したデータを保存します。窃取されるデータには以下が含まれます。
- 実行中のプロセスに関する詳細
- クリップボードの内容
- WiFi認証情報
- システム情報
- スクリーンショット
- インストールされているプログラムのリスト
また、クッキーを窃取しユーザーセッションを乗っ取るため、マルウェアはChromeおよびEdgeブラウザをヘッドレスモードで起動します。これにより、保存されているクッキーを密かに取得できます。さらに、Phantom、Metamask、Exodusといった暗号通貨ウォレットも標的となり、パスワードや認証情報も探し出して窃取します。
Microsoftの対応と過去の事例、対策
BleepingComputerはマーケットプレイスにおける拡張機能の存在についてMicrosoftに連絡しましたが、現時点ではコメントは得られていません。
過去にも、OpenVSXやVisual Studio Codeといったプラットフォームでは、悪意あるVS Code拡張機能が拡散されており、「Glassworm」キャンペーンは特に注目すべきものでした。
開発者は、このようなリスクを最小限に抑えるために、信頼できる発行元からのみ拡張機能をインストールするよう強く推奨されます。