Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的

Malicious Microsoft VSCode extensions steal passwords, open remote shells

2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。


これらのエクステンションは、2023年5月4日に Check Point により発見/報告され、その後の 2023年5月14日に VSCode Marketplace から削除された。しかし、現時点においても、悪意のエクステンションを使用しているソフトウェア開発者は、それらを手動で削除し、完全なスキャンを実行して、感染の残骸を検出する必要がある。

VSCode マーケットプレイスにおける悪質な事例

Visual Studio Code (VSC) は、Microsoft が公開している IDE (Integrated Development Environment) であり、世界中のソフトウェア開発者が使用しているものだ。

Microsoft は、この IDE 用のエクステンション市場として、VSCode Marketplace を運営している。そこでは、アプリケーションの機能を拡張し、より多くカスタマイズ・オプションを提供するための、5万件以上のアドオンが提供されている。

Check Point の研究者たちが発見した、悪質なエクステンションは以下の通りである:

Theme Darcula Dark:このエクステンションは、VS Code 上の Dracula カラーの一貫性を向上させると説明されているが、ホスト名/OS/CPU/メモリなどに関する、開発者のシステム基本情報を盗むために使用された。

このエクステンションには、他の悪意のアクティビティは含まれていないが、上記のものは、一般的なテーマ・パックに関連するものではない。

このエクステンションの流通量は多くて、45,000回以上もダウンロードされている。

Darcula extension on the VSCode Marketplace
Darcula extension on the VSCode Marketplace (Check Point)

python-vscode:このエクステンションは、説明文が空でありアップローダーは ‘testUseracc1111’ という名前だが、1,384回もダウンロードされている。それらしい名前を付けるだけで、さらなる興味を引くことができたと示唆される。

そのコードを分析したところ、C# シェル・インジェクタであり、被害者のマシンでコード/コマンドを実行できることが判明した。

Obfuscated C# code injector
Obfuscated C# code injector (Check Point)

prettiest java:このエクステンションの名前と説明から推測されるのは、人気のコードフォーマット・ツール ‘prettier-java’ を模倣している可能性が高い。

ただし、その機能はというと、Discord/Discord Canary/Google Chrome/Opera/Brave Browser/Yandex Browser などに保存されている認証情報/認証トークンを盗み出し、Discord の Web フックを介して攻撃者に送信するというものだった。

このエクステンションは、278回インストールされている。

Searching for local secrets
Searching for local secrets (Check Point)

Check Point は、確実に悪意があるとは断定できないが、非公開リポジトリからのコードの取得や、ファイルのダウンロードを行うなどに、安全とは言えない動作を示す、不審なエクステンションも複数発見している。

ソフトウェアリポジトリにはリスクがある

NPM や PyPI のような、ユーザーのコントリビューションを可能にするソフトウェア・リポジトリは、脅威アクターたちの人気のターゲットとなっているため、その利用にはリスクが伴うことが何度も証明されている。

VSCode Marketplace への攻撃は始まったばかりであるが、2023年1月に AquaSec は、VSCode Marketplace への悪意のエクステンションのアップロードが容易であることを実証し、いくつかの極めて疑わしい事例も提示した。しかし、その時には、マルウェアを発見することはできなかった。

今回、Check Point が発見した事例により、npm/PyPI などのソフトウェア・レポジトリで行われているのと同様に、Windows 開発者を悪意のポストで感染させようする、脅威アクターたちの積極的な試みが証明されている。

VSCode Marketplace を含む、あらゆるリポジトリのユーザーは、ダウンロード数が多く、コミュニティで高く評価されている、信頼できるパブリッシャーのエクステンションのみをインストールすべきである。さらに、ユーザレビューを読み、インストールする前にソースコードを確認することが推奨される。

VSCode Marketplace がマルウェアにより汚染され、そこからコードをダウンロードしていく開発者が侵害されていくという話ですが、2023/01/06 の「Visual Studio Code Marketplace の侵害は容易:悪意のエクステンションの登録方法とは?」も、ご参考になると思います。このリポジトリ汚染は VSCode より以前に始まっていることであり、GitHub/PyPI/npm などで、大きな問題となっています。よろしければ、DevSecOps ページも、ご参照ください。