2026年2月27日と28日に、Aqua Trivy VS Code拡張機能の2つのバージョン(1.8.12および1.8.13)がOpenVSXレジストリのaquasecurityofficial.trivy-vulnerability-scannerネームスペースに公開されました。
これらのバージョンには疑わしい動作が含まれており、サイバーセキュリティ企業であるSocketが素早く特定しました。調査により、新しいバージョンが公開リポジトリには存在しない悪意あるコードを含んでいることが判明し、開発者ツールのセキュリティが危険にさらされている可能性があります。
脅威は、Aqua Trivyの悪意あるバージョンが自然言語AIプロンプトを使用してローカルにインストールされたAIアシスタントを悪用していることをSocketが気付いたときに特定されました。
Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLIを含むこれらのアシスタントは、通常のセーフティチェックをバイパスする許可的なモードで呼び出されました。
開発者がこれらの侵害されたバージョンのいずれかでプロジェクトを開くと、悪意あるロジックがトリガーされ、AIアシスタントに不正なアクションを実行するよう指示しました。
バージョン1.8.12および1.8.13に注入されたコードは、認証情報や認証トークンなどのシステムから機密データを静かに収集するように設計されました。
悪意あるロジックは開発者のローカルマシンにインストールされたAIツールを対象とし、システムスキャンを実行するためにバックグラウンドプロセスを静かに実行しました。
バージョン1.8.13では、攻撃がエスカレートし、AIアシスタントにレポートを生成し、データを流出させるために「posture-report-trivy」というGitHubリポジトリを作成しようとするよう指示しました。
このアクティビティは、GitHub Actionsワークフローを含む主要なオープンソースプロジェクトもターゲットにした、AI駆動のエクスプロイトを使用したより広範なキャンペーンの一部として発生しました。
この期間中、Aqua Securityはアクティブな攻撃を受けており、状況はさらに複雑になりました。Aqua Securityは、GitHubでリリースされた勧告が侵害の責任者である同じ悪意あるボットによって生成されたことを確認しました。
バージョン1.8.12または1.8.13をインストールした開発者は、特にCodexやGitHub Copilotなどのツールをローカルにインストールしている場合、重大なリスクにさらされていました。
攻撃はバックグラウンドで直接的なやり取りなしに実行されたため、侵害はユーザーには即座には見えませんでした。
潜在的なリスクを軽減するため、開発者はGitHubやクラウドプロバイダーのトークンなどの機密認証情報をローテーションすることもお勧めされました。
この事件は、新しい形式のAI支援サプライチェーン攻撃へのシフトの印となります。従来の悪意あるコードを直接埋め込む代わりに、攻撃者は開発ワークフローに既に統合されているAIツールを活用して偵察と機密データの流出を実行するようになりました。
AIアシスタントが開発環境に深く根ざすようになるにつれて、攻撃面が拡大し、ソフトウェアサプライチェーンのセキュリティについて新たな懸念が生じます。
結論として、この攻撃は開発者ツールの管理における警戒心の必要性と、信頼できるソースからの拡張機能が適切に検証されていることを確認する必要性を強調しています。
AI駆動のエクスプロイトは、継続的な監視と防御措置が必要な新興のサイバーセキュリティの課題を表しています。
翻訳元: https://cyberpress.org/ai-exploits-compromise-openvsx/