- Glasswormキャンペーンが再浮上、OpenVSXとVisual Studioマーケットプレイスに24個の悪意ある拡張機能を発見
- マルウェアはGitHub、npm、ウォレットのトークンを盗み、HVNCクライアントとSOCKSプロキシを展開
- Flutter、React Native、Vueなどのフレームワークを標的に、Microsoftは防御強化に取り組み中
マルウェアがOpenVSXおよびMicrosoft Visual Studioマーケットプレイスに再び現れたと、研究者たちが警告しています。今年9月中旬、サイバー犯罪者が暗号資産保有者や開発者を標的に、情報窃取型マルウェアをオープンソースのコードリポジトリに仕込んでいることが報告されました。
Visual Studio MarketplaceとOpen VSX Registryはどちらも拡張機能を配布するプラットフォームで、前者はMicrosoftが所有しVisual StudioおよびVisual Studio Codeで使用され、後者はベンダーニュートラルなオープンソースの代替手段で、Eclipse Theia、Gitpod、SAP Business Application StudioなどVS Code互換エディタ向けに設計されています。
最初に研究者たちが発見したのは少なくとも24個の悪意ある拡張機能で、それらが削除されるとすぐに新たなものが現れました。これらの拡張機能をWindowsデバイスにインストールすると、Lumma Stealerが展開されます。
新たな24個のパッケージ
現在、セキュリティ研究者たちは、このキャンペーン(Glasswormと名付けられた)が2つのプラットフォームで24個の新しいパッケージを追加して再浮上したと述べています。
マルウェアを密かに仕込むために、攻撃者は不可視のUnicode文字を使用しており、これがGitHub、npm、OpenVSXアカウントを狙う情報窃取型マルウェアを形成しています。そこから、49種類のブラウザ拡張ウォレットからトークンやその他の貴重な情報を抜き取ろうとします。
また、リモートアクセス用のHVNCクライアントや、悪意ある通信経路を確立するSOCKSプロキシも展開します。BleepingComputerによると、この新たな攻撃はSecure Annexのセキュリティアナリストによって発見され、Flutter、Vim、Yaml、Tailwind、Svelte、React Native、Vueなど幅広いツールや開発フレームワークが標的になっているとしています。
パッケージの全リストはこちらのリンクで確認できます。
BleepingComputerのレポートによると、同社はこの攻撃についてMicrosoftに通報し、同社は人気リポジトリの防御強化策を検討中だと回答したとのことです。「私たちは引き続き、悪用を防ぐためにスキャンや検出機能の評価・改善を行っています。Microsoftは、すべての拡張機能ページにある“Report Abuse(不正報告)”リンクを通じて、ユーザーが疑わしいコンテンツを報告することを推奨しています」とRedmondは述べています。
