新たに分析された「Evelyn Stealer」と呼ばれるキャンペーンは、Visual Studio Code(VSC)の拡張機能エコシステムを攻撃配信プラットフォームへと変え、脅威アクターがソフトウェア開発者を侵害し、企業環境のより深部へ横展開できるようにしています。
このキャンペーンは、初期の誘い(ルアー)として、「Bitcoin Black」テーマや「Codo AI」コーディングアシスタントなど、一見正規に見える拡張機能を悪用します。
外見上は装飾テーマと実用的なAIヘルパーとして振る舞う一方で、両拡張機能には、起動時にPowerShellおよびバッチスクリプトを実行し、バックグラウンドでマルウェアをダウンロードして配置する隠しロジックが含まれています。
Koi SecurityおよびTrendAIの研究者によって詳細が示されたこの作戦は、悪意のあるVSC拡張機能、DLLハイジャック、プロセスホロウイング、アンチ解析技術を連鎖させ、高価値な開発者ワークステーションを直接狙う成熟した多段階のデータ窃取パイプラインへと組み上げています。
インストールされると、拡張機能は正規のスクリーンショットユーティリティLightshotと、トロイの木馬化されたDLLを組み合わせて配布し、古典的なDLLハイジャックを利用して、信頼されたバイナリを装いながら攻撃者が制御するコードを実行します。
第1段階のペイロードであるLightshot.dllは、正規のLightshotコンポーネントを装い、Lightshot.exeによってサイドロードされます。
読み込まれると、このDLLは直ちに自身のペイロードを実行し、紛れ込むために無害に見えるエクスポートを公開するとともに、各ホストで1インスタンスのみが実行されるよう、シングルトン型のミューテックスを実装します。
続いて、隠しPowerShellコマンドを起動し、第2段階の実行ファイルをユーザーのTempディレクトリに「runtime.exe」として取得して、より深い侵入チェーンの基盤を確立します。
iknowyou.modelとして特定されたこの第2段階は、プロセスホロウイング型のインジェクターとして機能します。Windowsプロセスgrpconv.exeの停止状態のインスタンスを作成し、ハードコードされたキーとIV値を用いて、埋め込まれたEvelyn StealerペイロードをAES‑256‑CBCで復号します。
復号後、マルウェアは停止中のgrpconv.exeインスタンスのメモリをEvelyn Stealerコードに置き換え、実行を再開します。これにより最終ペイロードは正規のWindowsプロセス内で動作し、基本的な振る舞い検知やシグネチャベースのセキュリティ制御を回避できます。
起動すると、Evelyn Stealerはプロセス注入、ファイルおよびレジストリ操作、ネットワーク通信、クリップボードアクセスのためのWindows APIを動的に解決します。
このマルウェアは、GPU、ホスト名、ディスクサイズ、プロセス、レジストリ分析などを含む広範な環境チェックを実施し、サンドボックスや研究環境を回避するために仮想マシンおよびデバッガ検知を組み込みます。
システムがこれらのチェックを通過すると、EvelynはユーザーのAppDataパスに独自の作業ディレクトリを作成し、大規模なデータ収集を開始します。
このスティーラーは、ブラウザ中心のデータ窃取とセッションハイジャックに強く注力しています。稼働中のブラウザプロセスを復元して終了させた後、新たな隠しブラウザインスタンス(例:ChromeやEdge)を、「–headless=new」「–no-sandbox」「–disable-extensions」「–disable-logging」など多数のフラグとともに起動し、ユーザーから見えにくくし、フォレンジック痕跡を最小化するために、画面外の1×1ピクセルのウィンドウを使用します。
専用のブラウザ注入DLLであるabe_decrypt.dllは、Tempディレクトリ、攻撃者のFTPサーバー、または現在の作業ディレクトリから取得され、認証情報、Cookie、セッションデータを抽出するために注入されます。
ブラウザデータに加え、Evelyn Stealerはクリップボード内容、保存されたWi‑Fi認証情報、システム情報、インストール済みソフトウェア一覧、実行中プロセス、VPN設定、そして複数カテゴリの暗号資産ウォレットデータを取得します。
収集された成果物はZIPアーカイブにまとめられ、ファイル名には国、IPアドレス、ユーザー名、OSバージョン、ハードウェア情報、ウォレット関連フラグなどの豊富なコンテキストが符号化されたうえで、攻撃者が管理するインフラへFTPで持ち出されます。
緩和策
この脅威は、開発、DevOps、本番環境にわたりVSCとサードパーティ拡張機能に依存する組織にとって、明確な影響を伴います。
マルウェアが必要な情報をすべて収集すると、データをZIPファイルにアーカイブし、FTP経由で攻撃者のC&Cサーバーへ送信します。
侵害された開発者マシンは、敵対者に対してソースコード、シークレット、CI/CDパイプライン、クラウドコンソール、暗号資産などのデジタル資産への直接アクセスを提供します。
Evelynキャンペーンは、攻撃者が開発者向けツールやマーケットプレイスへの信頼をいかに作戦化しているかを示しており、ソーシャルエンジニアリングのテーマ(暗号資産に着想を得たダークテーマ、AIコパイロット)を反復しつつ、配布チェーンを洗練させています。
TrendAI Vision One™などのベンダーは、Evelyn関連の侵害指標(IOC)に対する検知・ブロックのカバレッジを報告しており、防御側が悪意のある拡張機能、ペイロード、C2インフラを特定するのに役立つハンティングクエリや脅威インテリジェンスを提供しています。
企業にとって、このキャンペーンは開発者環境を高リスク資産として扱う緊急性を浮き彫りにします。すなわち、拡張機能の厳格な審査、異常なPowerShellおよびヘッドレスブラウザ活動の監視、DLLハイジャックへの耐性強化、開発・ビルドシステムへのゼロトラスト原則の適用が求められます。
AI搭載アシスタントや豊富な拡張機能エコシステムがIDEに広がるにつれ、開発者向けツールを武器化する同様のキャンペーンは加速する可能性が高く、コードと重要なビジネスインフラの双方を保護するには、事前対策と継続的な監視が不可欠です。
翻訳元: https://gbhackers.com/visual-studio-code/
