Annex Securityのセキュリティ研究者は、Open VSXレジストリ内で人気のAngular Language Serviceを装う悪意のあるVS Code拡張機能を発見しました。
2週間前に公開され、巧妙なマルウェアが起動する前に5,066回のダウンロードを集めました。
この拡張機能には、正規のAngularツール(@angular/language-service 21.1.0-rc.0)とTypeScript 5.9.3が同梱されています。
しかし、extension/index.jsファイル内に隠された悪意のあるコードが含まれており、開発者に対して深刻なサプライチェーンリスクをもたらします。
悪意のある起動と暗号化ローダー
この拡張機能は、package.jsonのアクティベーションイベント「onLanguage:html」と「onLanguage:typescript」により、HTMLまたはTypeScriptファイルでトリガーされます。
起動すると、AES-256-CBCを用いたNode.js cryptoでペイロードを復号します。ローダーは巨大な16進エンコード文字列を処理します:
let b = d.update('918f27c02746d05ee7d972e8985929708aea8...', 'hex', 'utf8');
b += d.final('utf8');
await new Promise(r => setTimeout(r, 500));
eval(b);この遅延により基本的なサンドボックスを回避し、ペイロードがVS Code APIへの完全なアクセス権を持って実行できるようになります。
ステルスC2のためのSolanaブロックチェーン
復号されたステージ1ペイロードは、SolanaメインネットのBjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SCにクエリを送ります。
メモフィールドからBase64エンコードされたURLを抽出します。これはEtherhidingと呼ばれる手法です。利点として、不変性、高可用性、匿名性、およびテイクダウン耐性が挙げられます。
さらに見る
サイバーセキュリティのコンサルティングサービス
サイバーセキュリティのニュースプラットフォーム
サイバーセキュリティ
2026年1月28日(UTC)時点で、メモはhxxp://217.69.11.57/VAM%2Fkax5vb7d%2FkU7RDft8A%3D%3Dにデコードされました。このアドレスは過去1か月で10回の更新が確認されており、動的なペイロード変更が可能になっています。
| IOC種別 | 値 | 説明 |
|---|---|---|
| 拡張機能ID | angular-studio.ng-angular-extension | 悪意のあるOpen VSXパッケージ |
| Solanaアドレス | BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC | ペイロード用のC2メモフィールド |
| C2 IP | 217.69.11.57 | ステージ2ペイロードサーバー |
| C2 IP | 108.61.208.161 | データ流出(エクスフィル)エンドポイント |
ジオフェンシングでロシアのシステムを回避
ペイロードを取得する前に、マルウェアは検知を避けるためロシアのロケールをチェックします:
let isRussianLanguage = [os.userInfo().username, process.env.LANG /* etc */].some(info => /ru_RU|ru-RU|Russian/i.test(info));
let russianTimezones = ["Europe/Moscow" /* etc */];
if (_isRussianSystem()) return;ユーザー名、LANG変数、タイムゾーン、UTCオフセット(+2〜+12時間)をスキャンし、ロシア関連のマルウェアでよく見られる一致があると終了します。
永続化とプラットフォーム別の実行
ユーザーのホームディレクトリ(例:Windowsでは%APPDATA%)にinit.jsonを作成して実行状況を追跡し、48時間ごとにタイムスタンプを更新します。
プラットフォーム検出により、macOS向け、またはそれ以外向けのVMサンドボックス化されたevalへと分岐し、HTTPヘッダーから取得したキーで暗号化ペイロードを取得します。
スティーラーが開発者と資産を標的に
最終段階では、サプライチェーン攻撃のために開発者の認証情報を窃取します:
- NPM/GitHubの窃取:.npmrcトークン、環境変数、git認証情報、VS CodeのOAuthストレージをダンプし、APIへのpingで検証します。
- 暗号資産ウォレット:60種類以上(MetaMask、Phantomなど)をスキャンし、データベースを取得するためにChrome/Firefoxを強制終了します。
- 永続化:隠しNode.jsバイナリ、スケジュールタスク「UpdateApp」、およびレジストリのRunキーを展開します。
- 流出(エクスフィル):データをZIP化して108.61.208.161へPOSTし、動的なC2更新にGoogleカレンダーを使用します。
迫り来るワーム脅威
数週間にわたる露出により、感染したAngular開発者はNPMパッケージやGitHubリポジトリを侵害してしまうリスクがあります。
annex は、これはShai Huludなどの過去の攻撃に由来するもので、自己伝播を引き起こす可能性があると警告しています。
さらに見る
ダークウェブ監視サービス
コンピュータセキュリティ
セキュリティハードウェア機器
Open VSXの緩い管理体制がこの種の脅威を可能にしています。組織は拡張機能を能動的にスキャンする必要があります。
研究者は、直ちにアンインストールし、認証情報をローテーション(更新)するよう強く求めています。Annexは検証のためのペイロード復号サービスを提供しています。
翻訳元: https://gbhackers.com/malware-hits-open-vsx-extension/
