今月73個の偽の拡張機能が追加されたと、Socketの研究者は述べています。サプライチェーン攻撃が続いています。
GlassWormマルウェアをダウンロードする詐欺的な拡張機能でOpen VSXコードマーケットプレイスをに汚染する脅威行為者は、さらに73個の偽のリンクをアップロードしました。ソフトウェアサプライチェーンへの感染の試みが続いています。
Philipp BurckhardtはSocketの脅威インテリジェンス責任者で、最新の活動を暴露した彼は、先月72個の悪意あるエクステンションを追加した後、これを「大幅なエスカレーション」と呼びました。
拡張機能は信頼できる開発者ツールになりすまします。最近では、リストされた拡張機能には良性コードが含まれており、マルウェアスキャナーを回避します。その後、新しく作成されたGitHubまたは他のパブリックアカウントに自動的に接続した後、開発者のコンピュータにGlassWormを更新としてダウンロードします。この最新の波には、バンドルされたネイティブバイナリに依存する拡張機能が含まれます。
「拡張機能自体は薄いローダーとして機能します」とSocketはレポートで説明しました。「ツールが通常スキャンするもの外に重要なロジックをシフトし、複数の配信メカニズム全体に広がることで、脅威行為者は検出を回避する可能性を高めます。」
Socketが先週見た73個の新しい拡張機能のうち、6個がマルウェアのソースに接続するために有効化されました。今週、さらに8個が有効化されたとBurchardtはインタビューで述べました。
SocketはOpen VSXマーケットプレイスを監督するEclipse Foundationに最新の詐欺的な追加について通知しており、Burchardtは現在までにすべての73個が削除されていることを期待しています。
しかし、継続的な攻撃は、脅威行為者がOpen VSXやnpmなどの開発者が使用するオープンコードマーケットプレイスを使用して、作成中のアプリケーションを危険にさらし、後にデータ盗難マルウェアの配布を可能にする方法の別の例です。
[関連コンテンツ: GlassWormマルウェアは依存関係の悪用を介して蔓延する]
エクステンションは、開発者がアプリケーション作成を加速するのに役立つアドオンモジュールです。MicrosoftのVisual Studio Codeは世界で最も一般的なコードエディタの1つであるため、VS Codeエクステンションは脅威行為者にとって魅力的なターゲットです。一般的なエクステンションには、JavaScriptやTypeScriptなどのサポートされている言語の潜在的なエラーを分析することから、コード補完を提案するAIツールまで、すべてを行うユーティリティが含まれます。Eclipse Foundationは、Open VSXレジストリが8,000人以上の発行者から12,000以上のエクステンションをホストしていると述べています。
開発環境セキュリティの体系的なギャップ
GlassWormは、その名前にもかかわらず、ワームではなくローダーです。StepSecurityによると、GlassWormのステージ3ペイロードには、複数のソースからGitHubおよびnpmトークンを収集する専用の認証情報盗難モジュールが含まれています。攻撃者はこれらの認証情報を使用して、被害者のすべてのリポジトリにマルウェアを強制的にプッシュします。
ローダーには、ロシア語のコンピュータにマルウェアが落とされるのを検出してなくすホストゲーティングが含まれており、Burchardtはこのキャンペーンの脅威行為者がロシア人である可能性があると疑っています。
Tanya Jancaは彼女の企業SheHacksPurpleを通じてセキュアコーディングを教えており、「GlassWormキャンペーンを特に危険で興味深くしているのは、開発者環境をどのように保護するかの体系的なギャップを明らかにすることです」と観察しました。
「ソフトウェアパッケージでは、ロックファイル、ピンされたハッシュ、再現可能なビルドがあります。IDE[統合開発環境]エクステンションでは、ほぼ何もありません。整合性の検証がなく、package-lock.jsonに相当するものがなく、ほとんどの組織は開発者がIDEにインストールできるものを管理するポリシーをまったく持っていません。」
悪意のある行為者はギャップに気付きました。彼女は、彼らにとって、VS Codeエクステンションをターゲットにすることは、パッケージをターゲットにするよりも低摩擦の攻撃面であると述べました。特に、組織が依存関係パイプラインの周りに何年にもわたって構築したコントロールがエクステンションに対しては単に存在しないためです。
警告が広がる前に73個のエクステンションのうちいくつかだけが有効化された理由は確かに意図的なものです、とJancaは付け加えました。「これは意図的にステージングされた展開のように見えます。すべてを広く公開して信頼性を確立し、ダウンロードを蓄積してから、時間をかけて有害なサブセットを有効化して、大量検出をトリガーすることを避け、いくつかが削除または検出された場合に備えて準備完了資産の予備を保持します。」
開発者向けのアドバイス
Jancaは、GlassWormキャンペーンへの露出を減らしたい開発者は基本から始めるべきだと述べました。エクステンションの数を減らし、それぞれを実際のリスクが付属する依存関係として扱う。自動更新を無効にしてアップデートが適用される時期を制御し、それぞれを慎重に評価する。IDEエクステンションとサプライチェーンの他の領域をカバーする次世代SCAツールを使用し、サードパーティーのパッケージとコンポーネントだけではありません。
「ほとんどの人が見落とすことの1つ」と彼女は付け加えました。「既にインストール済みのものを監査してください。エクステンションは何年にもわたって蓄積され、2022年にそのエクステンションを構築した開発者は、今日それを維持している同じ人物ではないかもしれません。」
より強力な保証が必要なチームは、Jancaが述べたように、インストール時間コンテンツだけでなくランタイムアクティビティを監視する動作監視ツールを使用すべきです。セキュリティ署名を使用して、新しいエクステンションの正式な承認プロセスを確立します。承認されたエクステンションのアローリストを維持し、Open VSXなどの代替マーケットプレイスからはより高いリスクソースとして扱わずにインストールしないでください。
「オープンソースパッケージに適用するのと同じ規律を、IDE内に存在するツールと残りのソフトウェアサプライチェーンに適用する必要があります」と彼女は述べました。
開発者に兆候を認識するよう訓練する
Burchardtは、CSOが開発者に偽のエクステンションを認識するよう訓練する必要があると述べました。彼らが探しているファイルの名前を慎重に検査して、タイポスクワッティングに騙されるのを避け、発行者が正当なものであることを確認します。いくつかのGlassWorm関連のエクステンションは、正当なエクステンションよりも多くのダウンロードを持っていると彼は述べました。これは疑わしい兆候です。
開発者はダウンロードできるものに制限されるべきであると彼は付け加えました。特にリポジトリに新しく追加されたエクステンション。エクステンション更新を自動的にダウンロードする機能を無効にする必要があるかもしれません、と彼は述べました。開発者は必要なエクステンションのみをダウンロードするよう警告されるべきで、実験用のものではありません。
CSOはまた、開発者がダウンロードするものを可視化するセキュリティツールを探すべきであると、Burchardtは付け加えました。
Open VSXの問題の検出を支援するために、今月初めEclipse FoundationはOpen VSX Security Researcher Recognition Programを発表し、責任ある脆弱性開示を奨励しています。
