🛡 概要
現在進行中のサプライチェーン攻撃が、OpenVSXおよびMicrosoft Visual Studioマーケットプレイスの開発者を標的にしており、自動感染型マルウェア「GlassWorm」が推定35,800回インストールされています。このマルウェアは、見えない文字を使用して悪意のあるコードを隠蔽し、盗まれたアカウント情報を用いて、被害者がアクセスできる他の拡張機能に感染を広げることができます。GlassWormのオペレーターは、コマンド・アンド・コントロールにSolanaブロックチェーンを利用しており、取り締まりが非常に困難です。
🔍 技術詳細
GlassWormは、GitHub、npm、OpenVSXアカウントの認証情報や、49の拡張機能から暗号通貨ウォレットデータを盗むことを試みます。また、悪意のあるトラフィックを被害者のマシン経由でルーティングするためにSOCKSプロキシを展開し、見えないリモートアクセスを実現するHVNCクライアントをインストールします。マルウェアは、Solanaブロックチェーンにハードコーディングされたウォレットを持ち、次のステージのペイロードのためのbase64エンコードされたリンクを提供します。最終的なペイロードは「ZOMBI」と呼ばれ、感染したシステムをサイバー犯罪活動のノードに変える「大規模に難読化されたJavaScriptコード」です。CVEやCVSSの情報は確認されていませんが、GlassWormはブロックチェーンを利用してペイロードを隠す手法を採用し、取り締まりに対する耐性を高めています。
⚠ 影響
GlassWormの感染は、OpenVSXおよびVS Codeマーケットプレイスにおいて、少なくとも11の拡張機能に影響を及ぼしました。特に、CodeJoyのバージョン1.8.3は、見えないマルウェアを含む形で自動更新され、ユーザーの知らないうちに感染が広がりました。Koi Securityによると、この攻撃の全体的な影響は35,800のアクティブなGlassWormインストールに及び、被害者は自らの開発環境を危険にさらすこととなります。マルウェアの配布は依然として続いており、10の拡張機能がアクティブにマルウェアを配布していることが確認されています。
🛠 対策
現在、Microsoftは悪意のある拡張機能をマーケットプレイスから削除しましたが、依然としてOpenVSXには感染した拡張機能が残っている可能性があります。開発者は、使用している拡張機能のバージョンを確認し、公式なアップデートを通じてマルウェアを削除することが重要です。また、信頼できるソースからの拡張機能のみをインストールすることや、定期的にセキュリティスキャンを実施することが推奨されます。Koi Securityは、GlassWormが非常に高度なサプライチェーン攻撃であり、VS Codeにおけるワーム型攻撃の初の文書化された事例であると警告しています。
