旧式のVisual Studio Code拡張のひそかな更新は、ブロックチェーンアーキテクトへの標的型攻撃へと急速に変化してきました。IoliteLabs開発の3つのSolidity拡張が、突然有害なアーキテクチャに感染し、Windows環境とmacOS環境全体で不正なペイロードのダウンロードを静かに開始しました。多くのユーザーにとって、このわなは見事に本物に見えました:この拡張は2018年からマーケットプレイスに存在し、数万回のインストールを蓄積していました。
StepSecurityのフォレンジック部隊は、2026年3月25日に、solidity-macos、solidity-windows、およびsolidity-linuxの各拡張がバージョン0.1.8に同時にアップグレードされたことを明らかにしました。この異常なイベントの前に、これらのプロジェクトはほぼ8年間放置されていました。合計で約27,500回のインストールを誇り、開発者コミュニティの間で全く疑いを生じませんでした。このトリックは見知らぬベンダーからの正統なアップデートとして完全に偽装されていました。しかし、すべてのテレメトリーはIoliteLabs認証情報が深刻に侵害されていることを示しています。
このキネティック攻撃はスマートコントラクトとWeb3エコシステムのアーキテクトに的を絞った攻撃でした。その理由は明確です:そのような人物のワークステーションは頻繁に秘密の暗号化キー、シードフレーズ、ウォレットテレメトリー、クラウドアクセス認証情報、および自動デプロイメント用に鍛造されたトークンを保持しています。そのような非常に機密性の高い情報の流出は、直接的で壊滅的な経済的破滅をもたらします。
悪意のあるアーキテクチャはプライマリー拡張リポジトリ内に露骨に表示されませんでした。むしろ、伝統的にデータ圧縮に使用されるpakoライブラリの破損されたバージョン内に巧妙に隠されていました。この複雑な策略は表面的な検査を混乱させ、プライマリー実行可能ファイルが完全な無実の雰囲気を投影することを可能にします。悪人は、文字列を16進数の暗号に変換し、コマンドを異なるシャードに分割し、無意味な数学演算を注入し、悪意のあるロジックの明らかな特徴を無慈悲に削除するという多数の難読化パラダイムを通じて、彼らの有害なコードをさらに覆い隠しました。
Visual Studio Code起動時に、破損された拡張はエディターの連続した各起動で自動的に目覚めました。砲撃はSolidityファイルを開く必要すらありませんでした。Windows環境では、拡張機能はrraghh.comドメインからバッチスクリプトを呼び出し、その後、補助ドメインであるoortt.comからインストーラーを取得しました。逆に、macOS バリアントはcdn.rraghh.comを活用して、IntelおよびApple Siliconアーキテクチャの両方に合わせた悪意のあるスクリプトとカスタムバイナリを取得しました。
Windows環境内では、このキネティックチェーンはGoogle Chromeアップデートに偽装したライブラリの埋設で終わりました。ChromeUpdateおよびntuserという名前の痕跡がシステム内に現れ、正統的なWindowsユーティリティであるregsvr32が実行用にハイジャックされました。エクスポートされた関数の名前から判断すると、フォレンジック専門家たちは、このライブラリがキーストロークを監視し、クリップボードを監視し、その他のユーザー操作を追跡する忌まわしい能力を持っていたと推測しています。
macOS上の戦術はさらに複雑なことが判明しました。悪意のあるスクリプトは.system_updaterという名前の秘密のアーカイブを作成し、com.apple.system.updaterという指定されたLaunchAgentを介して永続的な実行を確立し、ダウンロードされたアーティファクトから隔離フラグを削除しました。このずうずうしい操作はGatekeeperセキュリティを巧妙に回避し、警告なしにバイナリの実行を許可しました。システムに侵入した後、この悪意のあるコンポーネントは必然的に自らを復活させます。
拡張の名前はプラットフォーム固有の分離を示唆していましたが、実際の悪意のあるペイロードはWindowsとmacOSのみで実行可能でした。Linux バージョンでは、セキュリティ研究者は独立した悪意のあるプロセスを起動できるコードを発見しませんでした。それにもかかわらず、拡張自体が破損されたライブラリを含んでおり、このキャンペーンの不可欠なコンポーネントであることを確実にします。
別の懸念点は基礎となるソースコードから生じています。拡張に関連付けられた公開GitHubリポジトリは、バージョン0.1.8に関するコミットがまったくありません。最後のコミットは2018年に固定されたままです。その結果、このアップデートはVisual Studio Code マーケットプレイスに直接注入され、公開リポジトリの透明な修正を完全に迂回したことが明らかです。マーケットプレイスと公開ソースコード間のこのような大きな不一致は、正当なアップデートではなく、発行者のアカウント侵害を強く示唆しています。
StepSecurityによって収集された情報によると、悪意のある0.1.8バージョンはこれらの由緒ある拡張を空洞化された外殻に変えました。Solidity開発に専念した元々の機能は無慈悲に削除され、表面的なポップアップアラートを超えて何も提供しないデジタルファサードに置き換えられました。これらの破損された拡張の唯一の真の目的は、悪意のあるアーキテクチャの検出されないダウンロードと実行に縮小されました。
IoliteLabs拡張を所有しているユーザーはバージョン0.1.8を直ちに削除し、システムを徹底的に検査して残存する脅威がないか確認し、拡張が2026年3月25日以降に実行された場合はワークステーションが侵害されたと想定すべきです。検査後は、暗号化ウォレットキー、GitHub、npm、クラウドサービス、およびその他のサービスのアクセストークンなど、マシンに存在していた可能性のあるすべての認証情報をローテーションすることが重要です。
