サイバー犯罪者は Microsoft の VSCode Marketplace をターゲットにし始めており、Windows 開発者が 46,600 回ダウンロードした 3 つの悪意のある Visual Studio 拡張機能をアップロードしています。
Check Pointによると、同社のアナリストが悪意のある拡張機能を発見し、Microsoft に報告したところ、このマルウェアにより攻撃者は資格情報やシステム情報を盗み、被害者のマシン上にリモート シェルを確立することができました。
これらの拡張機能は 2023 年 5 月 4 日に発見および報告され、その後 2023 年 5 月 14 日に VSCode マーケットプレイスから削除されました。
ただし、悪意のある拡張機能を依然として使用しているソフトウェア開発者は、それらをシステムから手動で削除し、完全なスキャンを実行して感染の残存物を検出する必要があります。
VSCodeマーケットプレイスにおける悪質な事例
Visual Studio Code (VSC) は、Microsoft によって公開され、世界中のかなりの割合のプロのソフトウェア開発者によって使用されているソース コード エディターです。
Microsoft は、VSCode Marketplace と呼ばれる IDE の拡張機能マーケットも運営しており、アプリケーションの機能を拡張し、より多くのカスタマイズ オプションを提供する 50,000 を超えるアドオンを提供しています。
Check Point の研究者によって発見された悪意のある拡張機能は次のとおりです。
「Theme Darcula dark」 – 「VS Code 上で Dracula の色の一貫性を向上させる試み」と説明されているこの拡張機能は、ホスト名、オペレーティング システム、CPU プラットフォーム、総メモリ、およびCPU。
この拡張機能には他の悪意のあるアクティビティは含まれていませんでしたが、テーマ パックに関連する典型的な動作ではありませんでした。
この拡張機能はこれまでで最も流通量が多く、45,000 回以上ダウンロードされました。
「python-vscode」 – この拡張機能は、空の説明とアップローダー名「testUseracc1111」にも関わらず 1,384 回ダウンロードされ、名前が良いだけで関心を集めるのに十分であることを示しています。
そのコードを分析したところ、これは被害者のマシン上でコードまたはコマンドを実行できる C# シェル インジェクターであることが判明しました。
「prettier-java」 – 拡張機能の名前と説明に基づくと、人気のある「 prettier-java 」コード整形ツールを模倣するために作成された可能性があります。
実際には、Discord および Discord Canary、Google Chrome、Opera、Brave Browser、および Yandex Browser から保存された資格情報または認証トークンが盗まれ、それらは Discord Webhook 経由で攻撃者に送信されました。
この拡張機能は 278 件インストールされています。
Check Point は、複数の不審な拡張機能も発見しました。これらは確実に悪意があるとは言えませんが、プライベート リポジトリからコードを取得したり、ファイルをダウンロードしたりするなど、安全でない動作を示していました。
ソフトウェアリポジトリにはリスクが伴います
NPM や PyPi など、ユーザーの貢献を許可するソフトウェア リポジトリは、脅威アクターの人気の標的となっているため、使用するのが危険であることが何度も証明されています。
VSCode Marketplace はまだ標的にされ始めたばかりですが、 AquaSec は 1 月に、悪意のある拡張機能を VSCode Marketplace にアップロードするのが非常に簡単であることを実証し、非常に疑わしい事例をいくつか紹介しました。ただし、マルウェアは見つかりませんでした。
Check Point が発見した事例は、NPM や PyPI などの他のソフトウェア リポジトリで行っているのとまったく同じように、脅威アクターが現在、悪意のある提出物で Windows 開発者を積極的に感染させようとしているということを示しています。
VSCode マーケットプレイスおよびユーザーがサポートするすべてのリポジトリのユーザーは、多くのダウンロード数とコミュニティ評価を持つ信頼できる発行元からの拡張機能のみをインストールし、ユーザー レビューを読み、インストールする前に必ず拡張機能のソース コードを検査することをお勧めします。
Comments