Open VSXマーケットプレイスでVS Code拡張機能に感染したGlassWormキャンペーンは、完全に封じ込められたとOpen VSXチームは発表しました。
Eclipse Foundationによって管理されているOpen VSXレジストリは、MicrosoftのVisual Studio Marketplaceのオープンソース代替であり、開発者にVS Code拡張機能の管理用サーバーアプリケーションを提供しています。
10月18日、Koi SecurityはGlassWormについて警告しました。これは、Open VSXで配布された悪意のある拡張機能を通じて、情報窃取マルウェアでVisual Studio開発者を標的とするキャンペーンです。
これらの拡張機能は、約36,000回ダウンロードされたと推定されており、Unicodeバリエーションセレクタを使用して隠されたコードが注入されていたため、コードエディタ上では見えませんでした。
GlassWormと名付けられたこのマルウェアは、認証情報などの機密情報を盗み、暗号通貨ウォレットから資金を抜き取り、SOCKSプロキシサーバーを展開し、感染したシステムへのリモートアクセスのために隠しVNCサーバーをインストールすることができました。
さらにKoiは、盗まれた開発者の認証情報を使って追加のパッケージや拡張機能に感染を広げる自己増殖機能があると警告しました。
Open VSXチームによると、GlassWormは「従来の意味で自己増殖するワームではなかった」とし、自律的にシステム間を伝播することはできませんでした。代わりに、攻撃者の影響範囲を広げるために使用できる認証情報を盗んでいました。
Open VSXはすべての悪意のある拡張機能をマーケットプレイスから削除し、10月21日にインシデントは完全に封じ込められたと見なしています。チームによれば、影響は推定よりも低かった可能性が高く、報告されたダウンロード数には拡張機能の可視性を高めるためのボットによるダウンロードも含まれていたためです。
「プラットフォーム上で継続的な侵害や悪意のある拡張機能が残っている兆候はありません」とOpen VSXチームは述べています。
今月、チームは複数の拡張機能によって誤って公開されたトークンも失効させました。これらのトークンは拡張機能の公開や変更に使用される可能性がありました。
「これらの漏洩は開発者のミスによるものであり、Open VSXインフラの侵害によるものではありません。今後の検出精度向上のため、MSRCと連携してトークンプレフィックス形式を導入し、公開リポジトリ全体で公開トークンのスキャンをより簡単かつ正確に行えるようにしました」とチームは述べています。
さらに、チームはトークンのデフォルト有効期間を短縮し、トークン失効を迅速化するための内部プロセスを改善し、公開時点ですべての拡張機能に対して自動セキュリティスキャンを実施し、悪意のあるコードや埋め込まれたシークレットを初期段階で検出できるようにしました。
翻訳元: https://www.securityweek.com/open-vsx-downplays-impact-from-glassworm-campaign/
