ソフトウェア開発者はサイバー攻撃者にとって依然として最重要の標的であり、拡大する悪意あるキャンペーンは、ソフトウェア開発ライフサイクルの基盤となるツールや環境そのものをますます悪用しています。この傾向を端的に示す例が、Visual Studio Code内の侵害された拡張機能を通じて拡散しているEvelyn Stealerマルウェアの出現です。
Trend Microの調査によれば、Evelyn Stealerは開発者の認証情報、暗号資産、その他の極めて機微なテレメトリを流出させるよう精密に設計されています。開発者のローカル環境の乗っ取りは、より広範な企業インフラへの侵入に向けた戦略的な足掛かりとなることが多く、特に標的となった人物がクラウドリソースや本番環境に対する管理者権限を有している場合、その傾向は顕著です。
このキャンペーンは、サードパーティ製のVS Code拡張機能を頻繁に利用する実務者を特に狙っています。12月、Koi Securityの研究者は、BigBlack.bitcoin-black、BigBlack.codo-ai、BigBlack.mrbigblackthemeという有害なアドオンを複数特定しました。これらはLightshot.dllというライブラリのインストールを可能にしていました。このコンポーネントは、難読化されたPowerShell命令を呼び出して実行ファイルruntime.exeを取得し、同ファイルがその後、主要な悪性モジュールを復号して信頼されたWindowsシステムプロセスgrpconv.exeへ注入しました。この高度な手口により、Evelyn Stealerは秘匿的に動作し、収集したデータをFTP経由で流出させることが可能になっていました。
傍受される情報の範囲は広範で、クリップボードの内容、インストール済みソフトウェアの一覧、暗号資産ウォレットのデータ、稼働中プロセスのリスト、デスクトップのキャプチャ、保存されたWi‑Fi認証情報、そしてGoogle ChromeおよびMicrosoft Edgeからの網羅的なブラウザテレメトリが含まれます。検知リスクを低減するため、このマルウェアは仮想化された研究環境を識別でき、円滑なデータ抽出を行うためにブラウザインスタンスを終了させることも可能です。
さらなる難読化のため、マルウェアはブラウザの実行パラメータを操作し、グラフィックアクセラレーションとログ記録を無効化するとともに、ウィンドウをほとんど知覚できない1×1ピクセルの背景状態で描画します。こうした挙動は、従来型のセキュリティソリューションによる検知や対処を著しく困難にします。
さらに、このマルウェアはミューテックス機構(単一ホスト上で複数の悪性インスタンスが同時に実行されるのを防ぐ同期オブジェクト)を用います。Trend Microは、Evelyn Stealerキャンペーンが、ソフトウェアセキュリティのエコシステムにおいて高価値標的である開発者コミュニティに対する、ますます計算された攻勢を反映していると指摘しています。同時に、Pythonベースの新興マルウェアファミリーが2つ記録されています。macOSとのクロスプラットフォーム互換性を備えるMonetaStealerと、システムAPIおよびサードパーティライブラリを活用してDiscordのWebhook経由で盗難データを送信するSolyxImmortalです。CYFIRMAの研究者は、SolyxImmortalがステルス性と永続性を優先し、露骨な破壊を避け、信頼されたプラットフォームをコマンド&コントロール通信に利用していると観測しています。
翻訳元: https://meterpreter.org/poisoned-plugins-evelyn-stealer-hits-developers-via-vs-code-marketplace/
