KhangNghiemによるOpen VSX拡張機能「fast-draft」がマルウェア配布に悪用され、開発者環境を標的とするサプライチェーン攻撃の増加傾向に加わっています。
26,000以上のダウンロードを達成したこの拡張機能は、GitHub上でホストされているダウンローダーを実行し、リモートアクセストロージャンと情報スティーラーを配布しました。
悪意のあるリリースには、バージョン0.10.89、0.10.105、0.10.106、0.10.112が含まれています。興味深いことに、これらの悪意のあるビルドは、0.10.88、0.10.111、および最新の0.10.135などのクリーンなバージョンの間に直接挟まれています。
このような交互のリリースパターンは、元の保守者が意図的に悪質になったのではなく、パブリッシャーアカウントが侵害されたか、パブリッシングトークンが盗まれたことを強く示唆しています。
保守者が意図的にマルウェアを配布していた場合、バージョン履歴はクリーンロジックに戻すのではなく、悪意のある状態を保つと考えられます。
攻撃は、拡張機能の侵害されたバージョンがエディタスタートアップ中にプラットフォーム固有のシェルスクリプトを実行するときに開始されます。拡張機能はユーザーBlokTrooperがホストしているGitHub リポジトリに接続します。スクリプトをシステムシェルに直接パイプします。
これらのスクリプトは圧縮アーカイブをダウンロードし、一時ディレクトリに抽出し、バンドルされたNode.jsバイナリを実行します。ダウンロードされたペイロードはバックグラウンドで完全に動作するステージ2攻撃フレームワークとして機能します。ランタイムエラーを隠すために一時的なラッパーを使用します。
静的分析を回避するために、設定フィールドからコマンドアンドコントロール IP アドレスを動的に再構築します。このフレームワークは、4つの異なる独立したバックグラウンドプロセスを生成し、システムの侵害を最大化します。
最初のプロセスはリモートデスクトップ接続を確立します。Socket.IO経由で攻撃者のインフラストラクチャに接続し直し、脅威アクターに被害者システムの完全な制御を付与します。
このモジュールはバンドルされた依存関係を使用して、マウスを移動させ、キーストロークをキャプチャし、スクリーンショットを取得し、クリップボードデータを読み取ります。仮想マシン環境をアクティブにチェックしますが、サンドボックスに関係なく動作を続け、重複を防ぐためにプロセスロックを維持します。
3番目のプロセスは、ターゲット化されたファイルスティーラーとして機能します。ローカルドライブを再帰的に検索して、機密ドキュメント、設定ファイル、秘密鍵を探します。
攻撃者はこのモジュールを、ビルドディレクトリなどのかさばるアプリケーションフォルダーを無視するように特別に設計しました。
代わりに、開発者ツール、ソースコードリポジトリ、現代的な人工知能コーディング環境を優先し、Cursor、Claude、Windsurfなどのツール関連のファイルを明示的にスキャンします。
セキュリティ研究者は2026年3月初旬に保守者に悪意のある活動を通知しました。ただし、発見時点ではこの問題は未対応のままでした。
クリーンビルドの aikido プレゼンスが通常のプロセス実行をバンドルしているという事実は、単純な静的ルールが悪意のある動作を見落とす可能性があることを意味します。
脅威ハンターとネットワークディフェンダーを支援するため、次の表は、この攻撃インフラストラクチャに関連する技術的指標の詳細を示しています。
翻訳元: https://cyberpress.org/open-vsx-drops-malware/