11月末、バグハンターのチームが、一見無害に見える GitHub リポジトリから始まる感染チェーンを発見しました。Visual Studio Code プロジェクトを装い、その内部には Anivia ローダーおよび多機能リモートアクセスツール OctoRAT に関連する VBScript ファイルが隠されていました。調査の結果、この悪意あるチェーンは、複数段階の有害コードをサイレントに実行可能な偽の VSCode 拡張機能を通じて拡散されていることが判明しました。
Checkmarx Zero によると、11月21日、「prettier-vscode-plus」という名称の拡張機能が公式の Visual Studio Code マーケットプレイスに登場し、人気のコードフォーマッタ Prettier を装っていました。ダウンロード数はわずかだったものの、それだけで多段階の侵害を引き起こすには十分でした。この拡張機能は VBScript ファイルを配信し、その VBScript が AES で暗号化されたデータを含む PowerShell コンポーネントを展開しました。そこから Anivia ローダーが実行され、プロセスホロウイングと秘匿されたペイロード復号を用いて、最終的に OctoRAT をシステム上に送り込みました。
チームは、biwwwwwwwwwww という名前で運用されている GitHub リポジトリ内の活動を追跡し、そこで VBS スクリプトの新しい亜種が継続的にアップロードおよび削除されていることを突き止めました。これは静的シグネチャの回避を狙った戦術です。ファイルは GitHub の Web インターフェースを通じてアップロードされており、技術的な痕跡を最小限に抑え、帰属リスクを低減していました。この手法により、攻撃者は攻撃ベクトル全体を維持したまま、ペイロードを迅速にローテーションすることができました。
Hunt.io による分析では、Anivia が復号したバイナリを正規プロセスである vbc.exe にインジェクションしていたことが判明し、検出を一層困難にしていました。次の段階は OctoRAT であり、これはシステム情報の収集、ブラウザ認証情報の窃取、暗号通貨ウォレットへのアクセス、タスクスケジューラを利用した永続化などが可能な高度なリモート管理ツールキットです。OctoRAT は、サービス操作、レジストリ操作、プロキシチャネルの作成、Windows セキュリティ機構の無効化など、数十種類のコマンドをサポートしています。
研究者たちは、OctoRAT のコマンド&コントロール(C2)インフラに特に注目しました。インターネットスキャンにより、「OctoRAT Center」を装ったコントロールパネルが発見されました。繰り返し現れる HTML の特徴から、少なくとも 7 台のアクティブなサーバーが特定されました。さらに X.509 証明書を軸にピボット調査を進めた結果、複数のヨーロッパ系ホスティングプロバイダにまたがる、単一のオペレーターに紐づく広範なノード群が明らかとなり、そのインフラの深さと広がりが浮き彫りになりました。
これらの悪意ある VSCode 拡張機能をめぐる一連の出来事は、開発者向けサプライチェーンに対する脅威アクターの関心が高まっていることを示しています。ペイロードの迅速なローテーション、システムプロセスの巧妙な悪用、そしてステルス性の高い権限昇格手法は、より静かで複雑になりつつあり、重要なシステムやソースコードへのアクセス権を持つ人物を標的とする攻撃が増加しているという、より広範なトレンドを体現しています。
