TigerJackと呼ばれる脅威アクターが、MicrosoftのVisual Code(VSCode)マーケットプレイスおよびOpenVSXレジストリで公開されている悪意のある拡張機能を使って、開発者を継続的に標的とし、暗号通貨の窃盗やバックドアの設置を行っています。
これらの拡張機能のうち2つは、17,000回ダウンロードされた後にVSCodeから削除されましたが、OpenVSX上にはまだ存在しています。さらに、TigerJackは同じ悪意のあるコードを新しい名前でVSCodeマーケットプレイスに再公開しています。
OpenVSXは、Microsoftのプラットフォームの代替として運営されているコミュニティ主導のオープンソース拡張機能マーケットプレイスであり、独立したベンダーニュートラルなレジストリを提供しています。
また、CursorやWindsurfなど、技術的または法的な理由でVSCodeを利用できない人気のVSCode互換エディタのデフォルトマーケットプレイスでもあります。
このキャンペーンはKoi Securityの研究者によって発見され、今年初めから少なくとも11個の悪意のあるVSCode拡張機能が配布されています。
VSCodeマーケットプレイスから排除された2つの拡張機能はC++ PlaygroundとHTTP Formatという名前であり、研究者によると新しいアカウントを通じてプラットフォームに再導入されています。
起動時、C++ PlaygroundはC++ファイルのソースコードを複数の外部エンドポイントに流出させるためにリスナー(‘onDidChangeTextDocument’)を登録します。このリスナーは編集後約500ミリ秒で発火し、ほぼリアルタイムでキーストロークを取得します。
Koi Securityによれば、HTTP Formatは表向きは宣伝通りに動作しますが、裏でCoinIMPマイナーを実行し、ハードコーディングされた認証情報と設定を使ってホストの処理能力で暗号通貨をマイニングします。
このマイナーはリソース使用量に制限を設けていないようで、活動のためにコンピュータの全計算能力を利用します。
出典: Koi Security
TigerJackによる別のカテゴリの悪意ある拡張機能(cppplayground、httpformat、pythonformat)は、ハードコーディングされたアドレスからJavaScriptコードを取得し、ホスト上で実行します。
リモートアドレス(ab498.pythonanywhere.com/static/in4.js)は20分ごとにポーリングされ、拡張機能を更新せずに任意のコード実行が可能となります。
出典: Koi Security
研究者は、ソースコード窃盗や暗号通貨マイナーとは異なり、この3つ目のタイプはより多機能で遥かに危険だとコメントしています。
「TigerJackは拡張機能を更新せずに動的にあらゆる悪意のあるペイロードを送り込むことができます。認証情報やAPIキーの窃盗、ランサムウェアの展開、侵害された開発者マシンを企業ネットワークへの侵入口として利用、プロジェクトへのバックドア挿入、リアルタイムでの活動監視などが可能です。」– Koi Security
出典: Koi Security
研究者によると、TigerJackは「複数アカウントによる協調的なオペレーション」であり、GitHubリポジトリ、ブランド、詳細な機能リスト、正規ツールに似た拡張機能名など、信頼できる開発者を装っています。
Koi SecurityはOpenVSXに調査結果を報告しましたが、記事公開時点でレジストリ管理者からの返答はなく、2つの拡張機能は依然としてダウンロード可能な状態です。
このプラットフォームでソフトウェアを入手する開発者は、信頼できる出版社からのみパッケージをダウンロードするよう推奨されています。
