- 研究者は、Visual Studio MarketplaceとOpen VSX RegistryでLumma Stealerなどのマルウェアを配布する24件の悪意ある拡張機能を発見
- この攻撃は暗号通貨保有者や開発者を標的とし、削除後もすぐに新たな拡張機能が置き換えられた
- オープンソースの拡張機能プラットフォームは、その人気とマルウェア拡散の容易さから引き続き魅力的な標的となっている
サイバー犯罪者は再び、インフォスティーラーをオープンソースのコードリポジトリに仕込むことで、暗号通貨保有者や開発者を標的にしています。
先週、BleepingComputerは、研究者がVisual StudioマーケットプレイスとOpen VSXレジストリで2ダースの悪意ある拡張機能を発見したと報じました。
Visual Studio MarketplaceとOpen VSX Registryはいずれも拡張機能の配布プラットフォームで、前者はMicrosoftが所有し、Visual StudioおよびVisual Studio Codeで使用されています。一方、後者はEclipse Theia、Gitpod、SAP Business Application Studioなど、VS Code互換エディタ向けに設計されたベンダーニュートラルなオープンソースの代替プラットフォームです。
WhiteCobraがソフトウェア開発者を標的に
この攻撃は、サイバーセキュリティ研究者のKoi氏および被害者の一人である高いスキルを持つEthereumエディタのZak Cole氏によって発見されました。
研究者によると、これらのプラットフォーム上には少なくとも24件の悪意ある拡張機能が存在し、削除された場合もすぐに新たなものが置き換えられていました。これらの拡張機能をWindowsデバイスにインストールすると、感染したコンピュータ上でLumma Stealerが展開されます。
Lummaは既知のインフォスティーラーで、ブラウザに保存されたパスワードや支払い情報の窃取、機密ファイルやセッションクッキー、暗号通貨ウォレット情報の流出が可能です。
Macの場合、ペイロードはローカルで実行されるMach-Oバイナリの形で、不明なマルウェアを読み込みます。
研究者らは、この脅威アクターをWhiteCobraと呼んでいます。
オープンソースソフトウェアのリポジトリは、マルウェアを多様な手法で配布できるため、サイバー犯罪者にとって人気の標的となっています。特にVisual Studio MarketplaceやOpen VSX Registryのような人気プラットフォームでは顕著です。前者は、Microsoft製品と密接に統合された48,000以上の拡張機能がホストされており、Visual StudioやVS Codeを利用する開発者の間で非常に人気があります。
一方、Open VSX Registryは、Eclipse Theia、Gitpod、SAP Business Application StudioなどのVS Code互換エディタを利用するオープンソースやエンタープライズ環境で勢いを増しています。1,500以上のパブリッシャーによる約3,000の拡張機能がホストされており、月間ダウンロード数は200万回を超えています。
