TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

暗号資産マイニング(クリプトジャッキング)キャンペーンに悪用される悪意あるMicrosoft VS Code拡張機能

セキュリティ研究者グループによると、正体不明の脅威アクターが、Microsoftの軽量ソースコードエディターであるVisual Studio Codeの一連の悪意ある拡張機能を通じて、大規模で高度なクリプトジャッキングキャンペーンを展開している。

Infosecurityに独占共有された新しいレポートで、新設のサイバーセキュリティスタートアップExtensionTotalの研究者は、VS Codeマーケットプレイスに最近アップロードされた少なくとも9つの拡張機能が悪意あるものだったことを確認した。

これらの拡張機能はすべて、4月4日以降に3人の異なる作者によって公開され、その中心は「Mark H.」として知られる人物だった。わずか3日間で30万件超のインストールが確認された。最も人気の高い「Discord Rich Presence」は、それだけで18万9000件のインストールを獲得した。

ExtensionTotalの共同創業者で、Zscalerの元プロダクトマネージャーでもあるItay Kruk氏によれば、これらの拡張機能は偽のVS Code拡張機能であり、9つすべてが同一の悪意あるキャンペーンの一部で、巧妙な多段階の暗号資産マイニング(クリプトマイニング)キャンペーンにおける初期侵入ベクターとして機能しているという。

Infosecurityに対しMicrosoftの広報担当者は、当該拡張機能は削除され、発行者はVisual Studio Codeマーケットプレイスからブロックされたと述べた。 「ユーザー側で必要な対応はありません」と付け加えた。

高度なクリプトジャッキングキャンペーン

悪意ある拡張機能のうち7つは「Mark H」によってアップロードされており、内訳は以下の通り:

  • Discord Rich Presence for VS Code
  • Claude AI
  • Golang Compiler
  • Rust Compiler for VSCode
  • ChatGPT Agent for VSCode
  • HTNL Obfuscator for VSCode
  • Python Obfuscator for VSCode

別の1つ「Rojo – Roblox Studio Sync」は「evaera」によってアップロードされ、11万7000回ダウンロードされていた。

最後の1つ「Solidity Compiler」はVSCode Developerが公開し、1300件のインストールを獲得していた。

「異常に短期間でこれらの数字に達していることは、インストール数が人為的に水増しされたことを強く示唆している。おそらく、拡張機能が広く信頼され活発に利用されているように見せることで信頼性を確立し、ユーザーの疑念を減らす狙いがあったのだろう」と、ExtensionTotalのセキュリティ研究者で本レポートの著者であるYuval Ronen氏は記している。

Kruk氏は、人為的に水増しされたインストール数は、攻撃者が積極的に悪用している拡張機能エコシステムの信頼指標における憂慮すべき脆弱性を浮き彫りにしていると述べた。

インストールされると、9つすべての拡張機能が密かにPowerShellスクリプトをダウンロードして実行し、Windowsのセキュリティを無効化し、スケジュールタスクによって永続化を確立し、リモートのコマンド&コントロール(C2)サーバーからXMRig 暗号資産マイナーをインストールした。

XMRigは、Monero(XMR)およびRandomXまたはCryptonightアルゴリズムを使用する他の暗号資産を採掘するために用いられる、人気の高いオープンソースの暗号資産マイニングソフトウェアだ。

XMRigは使いやすさから、クリプトジャッキング(所有者の認識や同意なしに侵害されたデバイス上で暗号資産を密かに採掘する行為)において、悪意あるアクターに好んで利用されるツールとなっている。

悪意あるVS Code拡張機能を用いたクリプトジャッキング攻撃チェーンの視覚的表現。出典:ExtensionTotal
悪意あるVS Code拡張機能を用いたクリプトジャッキング攻撃チェーンの視覚的表現。出典:ExtensionTotal

「攻撃者は高度な多段階攻撃を作り上げ、暗号資産をバックグラウンドで採掘している間も疑念を招かないよう、なりすましていた正規の拡張機能までインストールしていた」とKruk氏はInfosecurityに語った。

同氏はさらに、各拡張機能にはまったく同一の悪意あるコードが含まれ、同じC2サーバーと通信し、同じ悪意あるペイロードをダウンロードしていたことから、同一の出所に由来することが示唆されると付け加えた。

C2ドメイン「asdf11[.]xyz」は4月4日に作成されており、これは最初の拡張機能が公開された日と同日だった。

Kruk氏は、同氏のチームがVSCodeマーケットプレイスで悪意ある拡張機能を定期的に検出していることを認めつつも、この手口は「通常よりはるかに高度で影響も大きく、とりわけ用いられた手法の巧妙さが際立っている」と述べた。

ExtensionTotalの研究者は、悪意ある拡張機能をMicrosoftに報告し、その調査結果をブログ記事として公開した。

ユーザーは、VS Marketplace websiteの拡張機能詳細ページから、「Report a concern」ボタンを使用するか、または「[email protected]」へ直接メールすることで、疑わしい拡張機能を報告できる。

この記事は4月8日に更新され、Microsoftの回答を追記した。

翻訳元: https://www.infosecurity-magazine.com/news/microsoft-vs-code-cryptojacking/

ソース: infosecurity-magazine.com
#C2サーバー #Monero(XMR) #PowerShell #VS Code #VS Code Marketplace #Windowsセキュリティ無効化 #XMRig #クリプトジャッキング #悪意ある拡張機能 #暗号通貨マイニング

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新