数百万人を欺いた悪意あるVS Codeテーマ

皆さん、こんにちは。数百万人の開発者がマーケットプレイス経由でマルウェアに晒されるという事態が起きてから、もう1か月が経ちました。そして今回、また同じようなことが起きてしまいました。

ダークモードの皮を被った狼「Material Theme」をご紹介します。これは非常に人気の高いVSCode用テーマ拡張機能ですが、その美しいカラースキームの裏にマルウェアが潜んでいることが判明しました。

一体何が起きているのか

VSCode用のテーマ拡張機能であるMaterial Theme — Freeは、開発者によって3,927,094回インストールされていましたが、その依存関係を通じて悪意あるコードが含まれていることが発見されました。このテーマはVSCodeマーケットプレイスで現時点最も人気の高いテーマのひとつであり、そのため削除の事実は開発者コミュニティから大きな注目と懸念を集めることとなりました。

詳細な分析の結果、このコードベースには悪意ある意図を示す複数の危険信号が潜んでいることが判明しました。報告を受けてこの拡張機能はVSCodeマーケットプレイスから削除されましたが、その間に約400万人の開発者と数えきれないほどの組織が危険に晒されました。悪意あるコードは、このテーマの依存関係のひとつが侵害されたことによって混入したとみられています。

この拡張機能の公開者であるEquinusocioは、最近何かと議論と物議の対象となっていますが、ストア内でも屈指の人気パブリッシャーであり、もうひとつの非常に人気の高い拡張機能「Material Theme Icons — Free」も手掛けています。こちらは500万回以上インストールされていましたが、同様にマーケットプレイスから削除されました。Microsoftはさらに踏み込み、Equinusocioの実名であるMattia Astorinoに関連する他のパブリッシャーも削除しています。この拡張機能にも同じ悪意ある依存関係が含まれているかどうかについては、現在も調査が続けられています。

パブリッシャーであるEquinusocioの全拡張機能を合わせたインストール総数は、実に13,177,186回にのぼり、この事案が及ぼしうる影響の大きさはいまだ完全には明らかになっていません。

2025年3月12日更新: このパブリッシャーは拡張機能をクリーンアップした後、マーケットプレイスに復帰しました。詳細はこちらをご覧ください。パブリッシャーが悪意ある依存関係を削除したことを評価するとともに、Microsoftがこのテーマをマーケットプレイスに復帰させたことを歓迎いたします。とはいえ、私たちは引き続き組織の皆様に慎重な対応をお勧めします。特にテーマのような重要度の低いマーケットプレイス製品については注意が必要です。」

では、これからどうすればよいのか

まず、皆様の環境が感染していないかを確認することをお勧めします。以下に記載のIOC(侵害指標)をご活用いただくか、私たちまでお問い合わせください。

ある拡張機能の開発者を信頼していたとしても、バージョンごとに中身が全く別物になり得るという点を常に念頭に置くことが重要です。もし拡張機能の開発者、あるいは今回のようにその依存関係のひとつが侵害された場合、利用者も事実上ほぼ即座に侵害されてしまいます。

これは大企業が日々直面している、ソフトウェアサプライチェーンに関する典型的な問題です。セキュリティと生産性のバランスをどう取るか——私たちは、実務担当者にも企業にも役立つよう、まさにそのためのプロダクトを構築してきました。

お話ししたい方は、こちらからぜひご連絡ください 🤙

IOC(侵害指標)

翻訳元: https://www.koi.ai/blog/a-wolf-in-dark-mode-the-malicious-vs-code-theme-that-fooled-millions

ソース: koi.ai