TokyoBlackHatNews

gbhackers.com 4分で読了

GlassWormトロージャンがOpenVSX拡張機能を介してVS Code、Cursor、Windsurfを襲う

新たに発見されたサプライチェーン攻撃が、OpenVSX拡張機能マーケットプレイスを悪用して、複数の開発者環境にGlassWormマルウェアを拡散させています。

GlassWormは新しくありません。研究者は2025年3月以来このキャンペーンを追跡しており、その時攻撃者は目に見えないUnicode文字を使用してnpmパッケージ内に悪意のあるペイロードを隠しました。

その後、この作戦はGitHubリポジトリ、npmライブラリ、およびVS Code拡張機能に拡大しました。

セキュリティ研究者は“code-wakatime-activity-tracker”という名前のトロージャン化された拡張機能を特定しました。これは正規のWakaTimeプラグインに偽装しながら、Visual Studio Code、Cursor、Windsurfなどの人気のあるIDEを対象とした多段階感染チェーンを秘密裏に展開しています。

より最近では、キーストロークをログに記録してセッションクッキーを盗む偽のChrome拡張機能を介して、永続的なリモートアクセストロージャン(RAT)を配信しました。この最新の亜種は、配信技術とスケールの大幅な進化を示しています。

トロージャン化された拡張機能の動作

一見すると、悪意のあるOpenVSX拡張機能は本物のWakaTimeツールとほぼ同じに見えます。

開発者が期待する同じインターフェース要素、APIプロンプト、および機能が含まれています。悪意のある動作はその活動化ルーチン内でトリガーされます。

拡張機能がロードされると、Zigを使用してコンパイルされたバンドルされたネイティブバイナリがすぐに実行されます。このバイナリはNode.jsネイティブアドオンとしてパッケージ化されており、JavaScriptサンドボックス制限外で実行され、オペレーティングシステムへの完全なアクセスが可能になります。

Windowsではメディアイムファイルが読み込まれ、macOSではIntelおよびARMアーキテクチャの両方をサポートするMach-Oバイナリを使用します。

最終的なペイロードとして機能する代わりに、バイナリはステルスローダーとして機能します。その主な役割は、疑いを持たずにGlassWorm感染チェーンの次の段階を展開することです。

  • Visual Studio CodeおよびVS Code Insiders。
  • CursorおよびWindsurf。
  • VSCodiumおよびPositron。

その後、マルウェアは攻撃者が管理するGitHub Releasesリポジトリから悪意のある.vsixパッケージをダウンロードします。

このパッケージは「Auto Import」と呼ばれる広く使用されている拡張機能に偽装し、信頼と実行の可能性を高めます。

各IDEのビルトインコマンドラインインストーラーを使用して、マルウェアは検出されたすべてのエディターに悪意のある拡張機能を静かにインストールします。

Image

例えば、Windowsでは、ユーザーの操作なしにペイロードを展開するためにcmd.exeを介してコマンドを実行します。インストール後、ダウンロードしたファイルを削除してフォレンジック痕跡を除去します。

このアプローチにより、単一の侵害された拡張機能が開発者のマシン上のすべての互換性のあるIDEに感染でき、攻撃の到達範囲を大幅に拡大します。

第2段階ペイロード

インストールされた拡張機能はGlassWormドロッパーとして機能します。ブロックチェーンベースのメカニズム、特にSolanaネットワークを活用するコマンド・アンド・コントロール基盤に接続します。

Image

マルウェアはロシアなど特定の地域のシステムへの感染を避けるように設計されており、意図的なターゲティングを示しています。

一度有効になると、機密データの流出、追加のマルウェアの展開、および永続的なアクセスメカニズムのインストールが可能になります。以前のバージョンには、RAT機能と悪意のあるChrome拡張機能を介したブラウザベースの認証情報盗難が含まれていました。

セキュリティ専門家は、「code-wakatime-activity-tracker」拡張機能または不明な「autoimport」プラグインを持つシステムは侵害されていると見なすべきだと警告しています。

推奨されるアクションは以下を含みます:

  • すべてのIDEから疑わしい拡張機能を直ちに削除してください。
  • APIキー、認証情報、および認証トークンをローテーションしてください。
  • 永続的なメカニズムと不正なバイナリについてシステムをスキャンしてください。
  • 不審なアクティビティについてアウトバウンド接続を監視してください。

このキャンペーンは、開発者ツールをターゲットとするサプライチェーン攻撃の増加するリスクを強調しています。

OpenVSXやGitHubなどの信頼できるエコシステムを活用することで、攻撃者は大規模にマルウェアを静かに配布でき、日々の開発環境をより深い侵害への入口に変えることができます。

翻訳元: https://gbhackers.com/glassworm-malware-4/

ソース: gbhackers.com
#GlassWorm #IDE #OpenVSX #VS Code #サプライチェーン攻撃 #トロージャン #マルウェア #リモートアクセストロージャン #拡張機能 #認証情報盗難

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚