概要
セキュリティ研究機関Koi Securityは、Visual Studio Code Marketplaceを悪用した高度なマルウェアキャンペーンを発見しました。この攻撃は、一見無害な2つの拡張機能を利用して開発者を標的にしており、**スクリーンショットの取得、ブラウザセッションのハイジャック、Wi-Fiパスワードの窃取**が可能な強力なインフォスティーラーとして機能します。
悪意ある拡張機能の詳細
今回確認された悪意ある拡張機能は「Bitcoin Black」と「Codo AI」と特定されています。これらは同一のパブリッシャーによって公開されていますが、異なるソーシャルエンジニアリングの手法を用いて開発環境を侵害します。
- Bitcoin Black: ゴールドのアクセントを持つプレミアムなダークテーマを装っています。しかし、一般的なVS Codeテーマが単なるJSONファイルであるのに対し、この拡張機能は不審な「*」アクティベーションイベントを含み、エディタが使用されるたびに悪意あるPowerShellスクリプトを実行します。これはカラーパレットにとって全く不必要な動作です。
- Codo AI: ChatGPTおよびDeepSeekと統合された、実際に動作するコーディングアシスタントとして提供されます。実際の有用性を提供することで、攻撃者は「機能的な隠れ蓑」を作り出し、マルウェアがバックグラウンドで動作している間にユーザーの疑いを低下させます。
攻撃の進化と手口
Koi Securityの分析によると、脅威アクターは配信コードを積極的に改良しています。初期バージョン(v2.5.0)は、複雑な抽出方法とパスワード保護されたZIPファイルに依存しており、PowerShellウィンドウがユーザーに見えてしまうというアマチュア的なミスがありました。しかし、バージョン3.3.0では攻撃が効率化され、ペイロードは隠しウィンドウを持つクリーンなバッチスクリプトを介してダウンロードされるようになり、運用上のセキュリティが明らかに向上しています。
この攻撃の核は、**DLL Hijacking(MITRE T1574.001)**を利用している点です。拡張機能は、人気のあるスクリーンショットツール「Lightshot」の正規かつデジタル署名された実行可能ファイルを展開します。有効なLightshot.exeが起動すると、それに同梱された悪意あるDLLファイルが自動的にロードされます。これにより、マルウェアは信頼された署名付きプロセス内に隠れることで、セキュリティフィルターを回避します。
窃取される情報
一度アクティブになると、このマルウェアは非常に攻撃的です。ユーザーのAppDataフォルダにステージングディレクトリを作成し、以下の情報を収集します。
- スクリーンショット: 開発者のコード、メール、プライベートメッセージを捕捉します。
- 認証情報: 保存されたWi-Fiパスワードとクリップボードの内容を窃取します。
- ウェブセッション: ChromeおよびEdgeのヘッドレスバージョンを起動し、クッキーとブラウザセッションをハイジャックします。
マルウェアはコマンド&コントロール(C2)サーバーと通信し、重複感染を防ぐために「COOL_SCREENSHOT_MUTEX_YARRR」というミューテックスを利用しています。これは攻撃者の「海賊」的なペルソナへの言及と見られます。
開発者への勧告
このキャンペーンは、開発者コミュニティに対するA/Bテストの明確な事例であり、一方の誘いは暗号通貨愛好家を、もう一方は生産性向上を求める人々をターゲットにしています。ソースコードにコメントを残すなどの未熟なミスがあるにもかかわらず、署名付きバイナリを巧妙に利用している点が、これを**信用できる脅威**にしています。発見時、「Codo AI」はまだマーケットプレイスで公開されていました。
開発者は、**インストールされている拡張機能を監査し、VS Codeエコシステムにおけるサプライチェーン攻撃の増大する脅威に対して警戒を続ける**よう強く求められています。