Visual Studio開発者が自己増殖型ワームによる高度なサプライチェーン攻撃の標的となっています Koi Securityによると、OpenVSXマーケットプレイスを通じて攻撃が行われています。
GlassWormと名付けられたこのマルウェアは、被害者のマシンからNPM、GitHub、Gitの認証情報などの機密情報を盗み、49種類の暗号通貨拡張機能から資金を抜き取るよう設計されています。
さらに、感染したマシンにSOCKSプロキシサーバーを展開し、攻撃者がシステムにリモートアクセスできるように隠しVNCサーバーをインストールし、盗まれた認証情報を使ってパッケージや拡張機能を侵害することで自己増殖します。
Koi Securityによると、このワームの特徴は、ユニコードのバリエーションセレクタを使用している点です。これらは視覚的な出力を生じないため、コードエディタ上でコードを人間の目に見えないように隠します。
「コードレビューを行う開発者には、空白行やホワイトスペースにしか見えません。不審なコードをスキャンする静的解析ツールには、何も検出されません。しかし、JavaScriptインタプリタには?それは実行可能なコードです」とKoiは説明しています。
GlassWormはコマンド&コントロール(C&C)インフラとしてSolanaブロックチェーンを利用しています。ブロックチェーン上の特定のトランザクションを検索し、そのメモ欄に次のペイロードの場所に関する指示が含まれています。
これにより、インフラが妨害されることはなく、これらのトランザクションはブロックチェーンから変更や削除ができないため、攻撃者に匿名性を提供します。さらに、攻撃者は新しいトランザクションを公開するだけで、ペイロードやその場所を簡単に変更できます。
「あなたは無限にモグラを持つ相手とモグラ叩きをしているようなものです。これは理論上の攻撃経路ではありません。現実世界で稼働中のC&Cインフラであり、今まさにマルウェアを配信しています。そして、これを停止させる方法は文字通り存在しません」とKoiは指摘しています。
さらに、このマルウェアはGoogleカレンダーをバックアップのC&Cとして利用し、別のペイロードを取得して感染システムを攻撃者のインフラのノードに変えます。SOCKSプロキシサーバー、ピアツーピア通信のためのWebRTCモジュール、リモートコントロール用の隠しVNCが展開されます。
Koiによると、攻撃は10月17日に始まり、OpenVSX上の7つのVS Code拡張機能が侵害されました。マルウェアの自己増殖機能により、ユーザーが感染したパッケージをインストールした後、さらに多くの拡張機能が侵害されました。
10月18日、最初に侵害された開発者のうち2人がクリーンなバージョンのパッケージを公開した後も、Koiは10個の拡張機能が依然としてマルウェアを配信しているのを確認しました。翌日には、MicrosoftのVS Codeマーケットプレイスでさらに1つが特定されました。
「攻撃者のC&Cインフラは完全に稼働中です。ペイロードサーバーは応答しており、盗まれた認証情報が追加のパッケージ侵害に使用されています」とKoiは週末に警告しました。
Koiによると、感染した拡張機能は35,800回以上インストールされています。VS Code拡張機能は自動更新されるため、ユーザーの操作なしに、インストールしていたすべての開発者が感染パッケージによって感染しました。
翻訳元: https://www.securityweek.com/supply-chain-attack-targets-vs-code-extensions-with-glassworm-malware/
