Malicious crypto-stealing VSCode extensions resurface on OpenVSX

TigerJackと呼ばれる脅威が、マイクロソフトのVisual Code (VSCode)マーケットプレイスやOpenVSXレジストリで公開されている悪意のある拡張機能を使って、暗号通貨を盗んだりバックドアを仕掛けたりする開発者を常に狙っている。

17,000ダウンロードを数えた後にVSCodeから削除された2つの拡張機能は、OpenVSXにはまだ存在しています。さらに、TigerJackは同じ悪質なコードを新しい名前でVSCodeマーケットプレイスに再公開している。

OpenVSXは、Microsoftのプラットフォームに代わるものとして運営されている、コミュニティが管理するオープンソースの拡張機能マーケットプレイスで、独立したベンダーニュートラルなレジストリを提供しています。

また、CursorやWindsurfなど、技術的または法的にVSCodeから制限されている人気のあるVSCode互換エディタのデフォルトマーケットプレイスでもある。

このキャンペーンはKoi Securityの研究者によって発見され、今年の初めから少なくとも11の悪意のあるVSCode拡張機能を配布している。

VSCodeマーケットプレイスから追い出された2つの拡張機能は、C++ Playgroundと HTTP Formatと名付けられ、新しいアカウントを通じてプラットフォーム上に再導入されたと研究者は述べている。

C++ Playgroundは、起動時にC++ファイルのリスナー(’onDidChangeTextDocument’)を登録し、複数の外部エンドポイントにソースコードを流出させる。このリスナーは、編集の約500ミリ秒後に起動し、ほぼリアルタイムでキー入力をキャプチャする。

Koi Securityによると、HTTPフォーマットは宣伝通り動作するが、バックグラウンドで密かにCoinIMPマイナーを実行し、ハードコードされた認証情報と設定を使用して、ホストの処理能力を使用して暗号を採掘する。

このマイナーは、リソースの使用に関するいかなる制限も実装していないように見え、その活動のためにコンピューティング・パワー全体を活用している。

Miner active on the host
ホスト上でアクティブなマイナー
ソースはこちら:Koi Security

TigerJackの悪意のある拡張機能(cppplaygroundhttpformatpythonformat)の別のカテゴリーは、ハードコードされたアドレスからJavaScriptコードを取得し、ホスト上で実行します。

リモートアドレス(ab498.pythonanywhere.com/static/in4.js)は20分ごとにポーリングされ、拡張機能を更新することなく任意のコードを実行することが可能です。

Malicious function
悪意のある関数
Koi Security

研究者は、ソースコード窃盗や暗号マイニングとは異なり、この3番目のタイプは拡張機能を備えているため、はるかに脅威的であるとコメントしている。

“TigerJackは、拡張機能を更新することなく、あらゆる悪意のあるペイロードを動的にプッシュすることができます-認証情報やAPIキーを盗む、ランサムウェアを展開する、企業ネットワークへのエントリポイントとして侵害された開発者のマシンを使用する、プロジェクトにバックドアを注入する、またはリアルタイムで活動を監視する。”– 恋セキュリティ

Malicious extension removed from VSCode but still available on OpenVSX
悪意のある拡張機能は VSCode から削除されたが(左)、OpenVSX ではまだ利用可能である(右
Source:Koi Security

研究者によると、TigerJackは、GitHubリポジトリ、ブランディング、詳細な機能リスト、正規のツールに類似した拡張機能名など、信頼できる背景を持つ独立した開発者の錯覚によって偽装された “協調的な複数アカウントの操作 “だという。

Koi Securityはこの発見をOpenVSXに報告したが、レジストリのメンテナは公開までに回答しておらず、2つの拡張機能はダウンロード可能なままである。

OpenVSXをソフトウェアのソースとして使用している開発者は、評判が良く信頼できるパブリッシャーからのパッケージのみをダウンロードすることをお勧めします。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。