Source: https://thehackernews.com/2025/10/over-100-vs-code-extensions-exposed.html
🛡 概要
新しい研究によると、100以上のVisual Studio Code(VS Code)拡張機能の発行者が、悪意のある行為者によって利用される可能性のあるアクセス・トークンを漏洩しており、これが重大なソフトウェア供給チェーンリスクを引き起こしています。Wizのセキュリティ研究者Rami McCarthyによると、漏洩したVS Code MarketplaceまたはOpen VSXのPAT(個人アクセストークン)は、攻撃者が全インストール基盤に対して悪意のある拡張機能の更新を直接配布できることを意味します。この問題を発見した攻撃者は、150,000のインストール基盤に対してマルウェアを直接配布できた可能性があります。
🔍 技術詳細
Wizの調査によれば、550以上の検証された秘密が500以上の拡張機能に分散しており、異なる発行者から収集されています。これらの秘密は、AIプロバイダーの秘密(OpenAI、Gemini、Anthropicなど)、クラウドサービスプロバイダーの秘密(AWS、Google Cloud、GitHubなど)、データベースの秘密(MongoDB、PostgreSQLなど)を含む67種類に分類されています。特に、100以上の拡張機能がVS Code MarketplaceのPATを漏洩し、85,000以上のインストールに影響を与えています。さらに、100,000以上のインストール基盤を持つ30の拡張機能がOpen VSXアクセス・トークンを漏洩しています。
⚠ 影響
これらの脆弱性は、VS Code拡張機能がAIを活用したフォーク(CursorやWindsurfなど)にも統合されているため、攻撃面が大幅に拡大しています。特に、あるケースでは、VS Code MarketplaceのPATが、中国の300億ドル規模の企業の従業員に対してターゲットを絞ったマルウェアを押し込む可能性があったことが示されています。この問題は、組織内部やベンダー特有の拡張機能にも及びます。Wizは、この問題が拡張機能やプラグイン、供給チェーンのセキュリティにおける継続的なリスクを浮き彫りにしていると指摘しています。
🛠 対策
VS Codeユーザーは、インストールする拡張機能の数を制限し、ダウンロード前に拡張機能を慎重に確認し、自動更新を有効にするかどうかを慎重に検討することが推奨されます。組織は、悪意のある拡張機能に対処するために拡張機能のインベントリを開発し、中央集権的な許可リストを検討することが重要です。Microsoftは、漏洩したPATを無効にし、秘密スキャン機能を追加して、確認された秘密を持つ拡張機能をブロックすることを発表しています。このような対策を講じることで、開発者や組織はリスクを軽減し、供給チェーンの安全性を向上させることができます。
