セキュリティ研究者による最近の調査により、VSCode拡張機能やnpmパッケージを含む人気の開発ツールを悪用する悪意あるキャンペーンが憂慮すべきほど急増していることが明らかになりました。
これらのキャンペーンはローカルの開発環境を侵害し、より広範なソフトウェア・サプライチェーンにもリスクをもたらします。
VSCode Marketplaceからnpmへ
当初はVSCode MarketplaceでReversingLabsによって検知され、このキャンペーンは2024年後半にnpmエコシステムへと拡大しました。
最新の悪意あるnpmパッケージの一例としてetherscancontracthandlerがあり、5つのバージョンが確認されています。このうち3つには、追加の悪意あるコンポーネントをダウンロードするよう設計された難読化ペイロードが含まれていました。npmパッケージと侵害されたVSCode拡張機能の類似点は、同一の脅威アクターまたはグループが作成したことを示唆しています。
これらのキャンペーンは当初、暗号資産コミュニティを標的としていました。しかし2024年10月下旬までに、Zoomのような広く利用されているアプリケーションになりすますなど、焦点を拡大しました。脅威アクターは、インストール数の水増しや捏造レビューなどの高度な手口を用いて、悪意ある拡張機能を信頼できるものに見せかけました。
調査では、悪意あるVSCode拡張機能とnpmパッケージで共有される共通のエンドポイントも明らかになりました。「microsoft-visualstudiocode[.]com」など一部のドメインは、ユーザーを欺くために信頼できる情報源を模倣していました。検知回避のため、難読化されたJavaScriptが広範に使用されていました。
開発ツールと実践のセキュリティ確保
このキャンペーンは、開発ツールやサードパーティライブラリの利用における警戒の必要性を浮き彫りにしています。ReversingLabsは、リスクを軽減するためのベストプラクティスをいくつか推奨しています。
-
プラグインと依存関係を定期的に監査し、脆弱性を確認する
-
開発ツールおよびその拡張機能は使用前に検証し、事前承認する
-
更新やサードパーティライブラリによって新たに持ち込まれるリスクを特定するため、頻繁にセキュリティ評価を実施する
ソフトウェア・サプライチェーンのセキュリティ確保について詳しく読む:CISA、米国のソフトウェア・サプライチェーン透明性の改善を要請
ReversingLabsは、「公開リポジトリのパッケージを使用する際、開発者は悪意あるコードが含まれている可能性に注意を払い、より大きなプロジェクトで依存関係として悪意あるパッケージが取り込まれることを避けるべきだ」と警告しました。
「開発組織はまた、依拠しているオープンソース、サードパーティ、商用コードの機能や挙動も精査し、依存関係を追跡するとともに、その中に潜む可能性のある悪意あるペイロードを検知すべきだ」と述べています。
翻訳元: https://www.infosecurity-magazine.com/news/threat-actors-exploit-vscode/
