出典: Brent HofackerによるAlamy Stock Photo
進行中のGlassWormキャンペーンは、悪意のある新しいVisual Studio (VS) Code拡張機能を展開しており、その多くは最初は無害に見えますが、後にソフトウェア供給チェーンを汚染する可能性のある自己複製マルウェアを展開します。
Socketの研究者は、4月から始まる73個のいわゆる「スリーパー」拡張機能の新しいクラスターを発見しました。これは先月Open VSXマーケットプレイスで報告された自己複製マルウェアの活動に関連しています。最新の波は、キャンペーンが継続的にスケールアップし進化していることを示しており、Socket Research Teamが発表した最近のレポートによるものです。
スリーパー拡張機能またはパッケージは、脅威行為者が管理するなりすましで、武装化される前に公開されて信頼を構築し、ダウンロード数を増やしますが、後でマルウェアを配信するように更新される可能性があります。GlassWormの以前のキャンペーンでは、休止状態のままであるか、後で外部ソースからペイロードを取得するスリーパー拡張機能がまかれていました。
しかし、最新の悪意のある拡張機能の波には、後日に悪意のあるペイロードを自動的に取得して実行する機能が含まれており、新しい回避と伝播戦術を示しています。レポートによると。
「一部のバリアントは外部ペイロード取得に依存し、その他は以前のGlassWorm活動で見られた再利用されたインストーラーコンポーネントを含むバンドルされたネイティブバイナリに依存しています」と研究チームは述べています。しかし、GlassWormの最新活動全体の一般的なパターンは、「拡張機能自体が薄いローダーとして機能する」ことです。レポートによると。
「拡張機能のソースコードだけでは、最終的に実行される動作を反映していません」とチームは述べています。「ツールが通常スキャンする範囲外に重要なロジックをシフトさせ、複数の配信メカニズム全体に分散させることで、脅威行為者は検出を回避する可能性を高めます。」
供給チェーンの脅威が続く
GlassWormは、2025年10月にKoi Securityの研究者によってOpen VSX全体に広がったとして初めて文書化された自己複製マルウェアのファミリーです。その名前は、コードエディターでレンダリングされない印字可能なUnicode文字を使用した、ステルスマルウェアの元の化身で見つかった独特のコーディング手法に由来しており、基本的に悪意のあるコードを目に見えなくします。
GlassWormの目標は、ソフトウェア開発者にインフォステーラーを感染させて、ターゲット組織の秘密と認証情報を取得することです。その後、攻撃者はさらに武装化して、その犠牲者によって維持されているプロジェクトの汚染されたバージョンを公開することができます。これにより供給チェーンに下流効果が生じ、マルウェアが自己複製することができます。犠牲者がその汚染されたパッケージをダウンロードする場合、彼らは不注意にその伝播を促進しています。
レポートによると、少なくとも6つの拡張機能はすでにマルウェアでアクティブ化されており、その他はスリーパーまたは潜在的に疑わしいと思われます。GlassWorm拡張機能の数は流動的なままです。なぜなら、どの程度が悪意のあるものになるかは不明であるからです。しかし、それらは他のGlassWorm感染と一貫したパターンに従っており、「明らかなペイロードなしで最初に公開された後、後で通常の拡張機能更新パスを通じてマルウェアを配信するように更新される」とチームは述べました。
拡張機能はまた、Open VSX上の正当な拡張機能を模倣するために、「なりすまし パターン」を示しており、開発者を騙して悪意のあるものをインストールさせています。実際、攻撃者は正当なリスティングをほぼ正確に複製しており、名前、アイコン、説明、さらにはREADMEコンテンツを複製しながら、発行者名と一意の識別子などの微妙な詳細のみを変更しています。
Socket チームによると、一例として、偽のトルコ言語パッケージは正式版を密接に模倣しており、日常的なブラウジング中に違いを見つけるのが簡単です。「違いは微妙なので、開発者が急いでブラウジングしていれば見逃す可能性があります」とレポートによります。「これが最新のGlassWormクラスターの背後にあるコアソーシャルエンジニアリングパターンです。複製されたリスティングは十分なビジュアル信頼を生成して、マルウェアが導入される前にインストールを引き付けます。」
増加する回避への対応が必要
最新のGlassWorm拡張機能のダンプは技術的革新を示していないと、Koi Securityのチーフテクノロジーオフィサー(CTO)兼共同創設者のIdan Dardikmanはダークリーディングに語っています。しかし、それは「同じプレイブックをより大規模に実行し、すべてのツールが一度に展開されている」成熟した脅威行為者を示しており、これはGlassWormの脅威が継続して存在することを意味していると彼は言っています。
これのようなキャンペーンが拡大するにつれて、開発者が正当なパッケージと拡張機能と悪意のあるものを区別することはこれまで以上に困難になり、ソフトウェア供給チェーンへの既存のリスクを永続させています。このため、Socketは、開発者が様々なソフトウェアプロジェクトのコードを共有する公開サイトを使用する組織に注意を促しています。特に、本番環境に展開されるコードをダウンロードする前に、ダウンロード数などの要因を調べて、パッケージまたは拡張機能が正当なユーザーからのものであるかどうかを確認しようとしてください。
開発者がGlassWormに関連する悪意のある拡張機能を認識するのを助けるために、Socketチームはマルウェアでアクティブ化された拡張機能とスリーパー拡張機能の両方を特徴とするレポートに侵害のインジケーター (IoCs) のリストを含めました。研究者は、ネイティブインストーラーバイナリおよびダウンロードされたVSXペイロードやGitHubペイロードホスティングサイトへのリンクを含む様々なペイロードに関連するIoCs も含めました。
翻訳元: https://www.darkreading.com/application-security/fresh-glassworm-vs-code-extensions-supply-chain
