TokyoBlackHatNews

bleepingcomputer.com 5分で読了

自己拡散型GlassWormマルウェアがOpenVSXおよびVS Codeレジストリを攻撃

Image

新たに進行中のサプライチェーン攻撃が、自己拡散型マルウェア「GlassWorm」を使ってOpenVSXおよびMicrosoft Visual Studioマーケットプレイスの開発者を標的にしており、推定35,800回インストールされています。

このマルウェアは不可視文字を利用して悪意のあるコードを隠します。また、盗まれたアカウント情報を使って、被害者がアクセスできる他の拡張機能にも感染を広げることができます。

GlassWormの運用者はコマンド&コントロールにSolanaブロックチェーンを使用しており、これにより摘発が非常に困難になっています。バックアップ手段としてGoogleカレンダーも利用しています。

Microsoft Visual StudioおよびOpenVSXプラットフォームは、Visual Studio製品向けの拡張機能や統合をホストしており、暗号通貨の窃取を狙う脅威アクターの標的となり続けています [1, 2, 3]。

エンドポイントセキュリティプロバイダーKoiの研究者によると、現在のGlassWormキャンペーンは「悪意のあるコードをコードエディタ上から文字通り消してしまう不可視Unicode文字」に依存しています。

Image
隠された悪意のあるコード
出典: Koi Security

インストールされると、マルウェアはGitHub、npm、OpenVSXアカウントの認証情報や、49種類の拡張機能から暗号通貨ウォレットのデータを盗み出そうとします。

さらに、GlassWormは被害者のマシンを経由して悪意のあるトラフィックをルーティングするためのSOCKSプロキシを展開し、不可視のリモートアクセス用にVNCクライアント(HVNC)をインストールします。

このワームにはSolanaブロックチェーン上で取引を行うハードコードされたウォレットがあり、次の段階のペイロード用のbase64エンコードリンクを提供します。研究者によると、最終ペイロードは「ZOMBI」と呼ばれる「大幅に難読化されたJavaScript」コードで、感染したシステムをサイバー犯罪活動のノードに変えます。

「GlassWormの最終段階であるZOMBIモジュールは、感染した開発者のワークステーションをすべて犯罪インフラネットワークのノードに変換します」とKoi Securityは述べています

ペイロードを隠すためにブロックチェーンを利用する手法は、摘発耐性、匿名性、低コスト、アップデートの柔軟性など複数の運用上の利点から注目を集めています

Image
次段階ペイロードを取得するSolanaトランザクション
出典: Koi Security

ペイロード取得のバックアップ手段として、base64エンコードされたURLを含むGoogleカレンダーのイベントタイトルが利用されています。第三の配信メカニズムとして、IPアドレス217.69.3[.]218への直接接続も使われています。

さらなる回避と耐障害性のため、マルウェアはBitTorrentの分散ハッシュテーブル(DHT)を使って分散型コマンド配信を行います。

研究者は、OpenVSXで少なくとも11個、MicrosoftのVS Code Marketplaceで1個の拡張機能がGlassWormに感染していることを発見しました:

  1. [email protected] および 1.8.4
  2. [email protected]
  3. [email protected]
  4. [email protected]
  5. [email protected]
  6. [email protected] および 1.0.91
  7. [email protected]
  8. [email protected]
  9. [email protected]
  10. [email protected]
  11. [email protected]
  12. [email protected](Microsoft VS Code)

研究者によると、OpenVSX上の7つの拡張機能は10月17日に侵害され、その後数日間でOpenVSXとVS Codeの両方でさらなる感染が確認されました。Koi Securityは、影響の全体規模は35,800件のアクティブなGlassWormインストールであると指摘しています。

「特に緊急性が高い理由はこれです:VS Code拡張機能は自動でアップデートされます。CodeJoyが不可視マルウェア入りのバージョン1.8.3をリリースした際、CodeJoyをインストールしていた全ユーザーが自動的に感染バージョンへアップデートされました。ユーザーの操作も警告もなく、静かに自動感染が広がったのです」と研究者は述べています。

公開時点で、Koi Securityが発見した侵害拡張機能のうち少なくとも4つはOpenVSXでまだダウンロード可能な状態でした。Microsoftは研究者の警告を受け、悪意のある拡張機能をマーケットプレイスから削除しました。

vscode-theme-seti-folderおよびgit-worktree-menuのパブリッシャーは、悪意のあるコードを削除するため拡張機能を更新しています。

Function that targets developers' secrets
開発者のシークレットを狙う関数
出典: Koi Security

先月、同様のワーム型攻撃「Shai-Hulud」と呼ばれるものがnpmエコシステムを襲い、187のパッケージが侵害されました。マルウェアはTruffleHogスキャンツールを使ってシークレットやパスワード、機密キーを特定していました。

Koi Securityは、GlassWormは「最も高度なサプライチェーン攻撃の一つ」であり、VS Codeに対するワーム型攻撃としては初の記録例であると述べています。

GlassWormキャンペーンのC2およびペイロードサーバーは依然として稼働中であると研究者は警告しています。土曜日時点で、まだ10個の拡張機能がマルウェアを積極的に配布していました。

翻訳元: https://www.bleepingcomputer.com/news/security/self-spreading-glassworm-malware-hits-openvsx-vs-code-registries/

ソース: bleepingcomputer.com
#AIサイバーセキュリティ #AIマルウェア #GlassWorm #OpenVSX #Solanaブロックチェーン #VSCode拡張機能 #サプライチェーン攻撃 #自動感染 #開発者向け攻撃 #隠しコード

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用