Microsoft のVSCode Marketplace を標的にした悪意ある攻撃が見つかりました。
その中には 46,600回 以上ダウンロードされたものも含む、3つの悪意あるVisual Studio拡張機能も含まれています。
セキュリティ企業 Check Point の分析者によると、この悪質な拡張機能は、被害者の資格情報やシステム情報を盗み、被害者のマシンにバックドアを設置することがわかりましました。
これらの拡張機能は2023年5月4日に発見され、その後2023年5月14日にVSCode マーケットプレイスから削除されました。
しかし、これらの悪意ある拡張機能をまだ使用している開発者は、手動でシステムからこれらを削除し、マルウェアが残っているかを検出するために完全なスキャンを行う必要があります。
Check Point の研究者が発見した悪意のある拡張機能とテーマは以下の通りです。
「Theme Darcula dark」:VS Code の 単なる配色テーマなのに関わらず、このテーマは開発者のシステムに関する基本情報、ホスト名、オペレーティングシステム、CPUプラットフォーム、総メモリ、CPUなどに関する情報を盗みます。
このテーマは、46,600回以上ダウンロードされ、最も広く流通していました。
「python-vscode」: この拡張機能は説明がないにも関わらず、1,300回以上もダウンロードされました。悪意ある C# プログラムをインストールしていることが分かっています。
「prettiest java」: 拡張機能の名前と説明から、人気のある「prettier-java」コードフォーマットツールを模倣するために作成されたと思われます。
しかし実際には、Discord と Discord Canary、Google Chrome、Opera、Brave Browser、Yandex Browser から保存された資格情報や認証トークンを盗み、それらを攻撃者に Discord の webhook を経由して送信していました。
この拡張機能は270回以上ダウンロードされました。
Check Point は他に複数の疑わしい拡張機能を見つけましたが、これらが確実に悪質であるとは言えず、プライベートリポジトリからコードをフェッチしたり、ファイルをダウンロードしたりするといった安全でない行動を示していました。
VSCode マーケットプレイス が標的となり始めている一方で、VSCode マーケットプレイスに悪意のある拡張機能をアップロードするのはかなり簡単であることが言われています。
もはや、VSCode マーケットプレイスは手放しで安全ではありません。
VSCode のユーザーは、ダウンロード数やコミュニティ評価の多い信頼できるパブリッシャーからのみ拡張機能をインストールし、ユーザーレビューを読み、インストールする前に常に拡張機能の正当性を検査することを求められています。
