こんにちは。どのくらい経ったでしょう?前回、マーケットプレイスを通じて何百万人の開発者がマルウェアに露出してから1ヶ月ですか?さあ、また始まります。
ダークモードの狼、「Material Theme」にご挨拶ください。非常に人気のあるVSCodeテーマ拡張機能で、その美しいカラースキームの下に隠されたマルウェアが発見されました。
では、何が起きているのでしょうか?
Material Theme — 無料版は、VSCodeのテーマ拡張機能で、開発者によって3,927,094回インストールされており、依存関係を通じてマルウェアコードが含まれていることが判明しました。このテーマは現在までにVSCodeマーケットプレイスで入手可能な最も人気のあるテーマの1つであり、その削除により開発者コミュニティから多くの注目と懸念を集めることになりました。
深い分析により、そのコードベースの中に悪意を示す複数の危険信号が隠されていることが結論付けられました。報告されて以来、この拡張機能はVSCodeマーケットプレイスから削除されましたが、約400万人の開発者と数え切れないほどの組織を露出させるには十分な時間がありました。悪意のあるコードはテーマの依存関係の内部にあるようで、それは侵害されていました。
この拡張機能の発行者であるEquinusocioは、最近熱い議論と論争の対象となっており、ストア上で最も人気のある発行者の1人であり、別の非常に人気のある拡張機能“Material Theme Icons — 無料版”を持っており、500万回以上インストールされていますが、これもマーケットプレイスから削除されています。Microsoftはさらに、Equinusocioの本名であるMattia Asthorinoに接続されている他の発行者を削除することさえしました。それが同じマルウェアの依存関係も含まれているかどうかを結論づけるための調査がまだ行われています。
発行者Equinusocioがすべての拡張機能に持つ総インストール数は、膨大な13,177,186インストールであり、この事件の潜在的な影響は莫大であり、まだ完全には明らかになっていません。
更新3/12/2025:発行者は拡張機能をクリーニングした後、マーケットプレイスに復元されていますこちら。発行者がマルウェアの依存関係を削除したことを感謝し、MicrosoftがテーマをVSCodeマーケットプレイスに復元したことを嬉しく思います。いつものように、組織は注意を払うことを強くお勧めします。特にテーマのような重要でないマーケットプレイスアイテムに関しては。
しまった…では次はどうなるのでしょう?
まず第一に、環境が感染していないことを確認することをお勧めします。以下にコピーされたIOCを活用することもできますし、お問い合わせいただくこともできます。
拡張機能の開発者を信頼している場合でも、すべてのバージョンが前のバージョンと完全に異なる可能性があることを覚えておくことが重要です。拡張機能の開発者が侵害された場合、または今回のように依存関係の1つが侵害された場合、ユーザーも効果的に侵害されます。ほぼ即座に。
これは、大規模企業で毎日直面するソフトウェアサプライチェーンの古典的な問題です。セキュリティと生産性のバランスはどのように取りますか?私たちは、実務家と企業の両方のためにまさにそれを行うために製品を構築しました。
チャットしたい場合は、ここからご連絡ください 🤙
IOCs
翻訳元: https://www.koi.ai/blog/a-wolf-in-dark-mode-the-malicious-vs-code-theme-that-fooled-millions
