TokyoBlackHatNews

csoonline.com 4分で読了

Open VSXの拡張機能がハイジャック:GlassWormマルウェアが依存関係の悪用で拡散

脅威行為者は最初はクリーンな拡張機能を公開した後、隠しペイロードパッケージへの依存を追加するように更新し、マーケットプレイスのチェックをバイパスして、開発者のシステムに静かにマルウェアをインストールしています。

脅威行為者は、Open VSXレジストリの拡張機能の依存関係を悪用して、GlassWorm供給チェーンキャンペーンの新しいフェーズでマルウェアを間接的に配信しています。

Socketの研究者は、2026年1月31日以降、このキャンペーンに関連する少なくとも72個の追加の悪意あるOpen VSX拡張機能を特定したと述べています。これらの拡張機能は、リンター、フォーマッター、データベースユーティリティ、またはAIコーディングアシスタント統合など有用なツールのふりをして開発者をターゲットにしながら、GlassWorm作業に関連するマルウェアローダーの配信手段として機能しています。

「悪意あるリストすべてにローダーを直接組み込む必要がある代わりに、脅威行為者は現在『extensionPack』と『extensionDependencies』を悪用して、最初はスタンドアロンに見える拡張機能を後の更新で推移的配信手段に変え、信頼がすでに確立された後にのみ無害に見えるパッケージが別のGlassWormリンク拡張機能のプルを開始できるようにしています」とSocket研究者はブログ投稿で述べています。

新しいキャンペーンは技術的には同じコアのGlassWorm 手法を維持しながら、生存性と回避能力を向上させていると研究者は付け加えています。

拡張機能関係に隠された供給チェーン攻撃

extensionPackとextensionDependenciesは、Visual Studio Code拡張機能が他の拡張機能をバンドルまたは要求するために一般的に使用される2つの機能です。

Socketによると、脅威行為者はクリーンに見える拡張機能を公開し、ユーザーの信頼を得てマーケットプレイスのチェックに合格した後、GlassWormローダーを含む別の拡張機能への依存を含めるように更新しています。インストールまたは更新されると、エディタは悪意あるペイロードを含む参照されたすべての拡張機能を自動的にインストールします。

この推移的配信モデルは、npmなどのパッケージエコシステムの依存関係悪用に類似した供給チェーン経路を作成します。最近の悪用にはメンテナのコンプロミスが含まれ、バックドアマルウェアを広めている悪意あるアップデートにつながっていました。2025年11月までに800以上のパッケージをコンプロミスした悪名高いShai-Huludキャンペーンは、自己増殖依存関係悪用の別の例です。

新しいアプローチはおそらく攻撃者の運用オーバーヘッドを低下させます。すべての悪意あるエクステンションにローダーを埋め込む代わりに、彼らはペイロード拡張機能の小さい数を維持しながら、より広いネットワークの依存関係を通じてそれらを配布できます。

進化するGlassWorm

GlassWorm作業への以前の研究は、大量のコード難読化、悪意あるロジックを隠すためのUnicode文字の使用、ブロックチェーントランザクションを通じてコマンド・アンド・コントロールサーバを取得するインフラストラクチャなどの手法を明らかにしており、キャンペーンをテイクダウンに対してより弾力的にしています。

最新の波はまた、インストール機会を最大化するために広く使用されている開発者ツールを模倣しています。「拡張機能は圧倒的にESLintやPrettierなどのリンターやフォーマッター、コードランナー、Angular、Flutter、Python、Vueなどの一般的な言語ツール、vscode-icons、WakaTime、Better Commentsのような一般的な生活の質拡張機能など、広くインストールされている開発者ユーティリティを装っています」と研究者は述べています。「特に注目すべきことに、このキャンペーンはAI開発者ツーリングもターゲットにしており、Claude Code、Codex、Antigravityをターゲットにする拡張機能を含んでいます。」

研究者は、3月13日現在、Open VSXはほとんどの推移的に悪意あるエクステンションを削除しているが、少数は仍らったままで、継続的なテイクダウンを示していると付け加えました。

Socketはキャンペーンに関連する侵害の兆候(IOC)を公開し、このキャンペーンに関連していると考えられる悪意あるOpen VSX拡張機能と関連するパブリッシャーアカウントの数十個の名前を含んでいます。さらに、研究者は拡張機能の依存を通常ソフトウェアパッケージに適用するのと同じ精査で扱うことを推奨しています。組織は拡張機能の更新を監視し、依存関係を監査し、攻撃者が開発者ツールエコシステムをますます供給チェーンのエントリーポイントとして悪用しているため、可能な限り信頼できるパブリッシャーへのインストールを制限する必要があります。

翻訳元: https://www.csoonline.com/article/4145579/open-vsx-extensions-hijacked-glassworm-malware-spreads-via-dependency-abuse.html

ソース: csoonline.com
#GlassWorm #Open VSX #VS Code拡張機能 #コード難読化 #マルウェア配布 #供給チェーン攻撃 #依存関係悪用 #拡張機能セキュリティ #自己増殖ワーム #開発者ツール

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く