Open VSX レジストリで開発者のトークンが流出:エクステンションに関する悪意の活動を観測

Open VSX Registry Responds to Leaked Tokens and Malicious Extension Incident

2025/11/03 gbhackers — Eclipse Foundation の Open VSX チームは、人気のコード・マーケットプレイスで発生した認証トークンの漏洩と悪意のエクステンションに関する、重大なセキュリティ・インシデントに対応している。今月の初めに Wiz のセキュリティ研究者が特定したのは、複数の開発者トークンが、リポジトリで誤って公開されていたことだ。Open VSX チームは事態の収束に努め、今後の攻撃を防ぐための具体的な対策を取りまとめている。

これらのトークンは Open VSX Registry のアカウントに属し、コミュニティ主導の VS Code マーケットプレイスで、開発者によるエクステンションの公開/変更を可能にするものだった。

調査の結果として Open VSX チームが確認したのは、漏洩したトークンの一部が実際に侵害され、悪意の目的で使用されたことだった。

ただし、Open VSX チームが強調しているのは、今回の漏洩は開発者のミスによるものであり、Open VSX 自身のインフラへの侵害によるものではないことだ。このチームは、影響を受けたすべてのトークンを直ちに失効させ、さらなる悪用を防ぐ措置をとった。

今後における検出機能を強化するため、Open VSX は Microsoft Security Response Center (MSRC) と連携し、特別なトークン・プレフィックス形式を導入した。

この新しいトークン形式により、公開リポジトリのスキャンと、誤って公開されたトークンの特定が容易になるため、攻撃者による悪用を大幅に低減できる。

マルウェア攻撃

Open VSX による公表と同じころに、セキュリティ企業 Koi Security も GlassWorm というマルウェア攻撃を報告している。この攻撃は、これらの公開されたトークンの一部を介して悪意のエクステンションを公開するものだ。

これらのエクステンションは、開発者の認証情報を盗み出すように設計されており、エコシステム全体へと攻撃範囲が拡大していった。

当初の報告では、”自己増殖型ワーム” と表現されていたが、このマルウェアには自律的な自己複製の能力が無いことが、Open VSX により明確にされた。つまり、認証情報を盗み出すことで、攻撃が拡大していった。

また、報告されたダウンロード数 35,800件には、ボットによる生成や、脅威アクターによる操作も含まれるため、実際の影響よりも過大評価されている可能性が高いと、Open VSX は指摘している。

すでに Open VSX チームは、確認された悪意のエクステンションを、すべてのプラットフォームから削除し、通知を受け次第、関連するトークンを失効させている。

2025年10月21日の時点において、Open VSX はインシデントが完全に収束したと見ており、侵害の継続や悪意のコンテンツ残存の証拠は見当たらないとしている。

このインシデントが浮き彫りにするのは、オープンソース・エコシステムにおけるサプライチェーン・セキュリティの重要性である。Open VSX は、このプラットフォームのセキュリティを強化するために、いくつかの重要な改善を実施している。

  • トークンの有効期間をデフォルトで短縮し、トークンの失効手順を合理化することで、漏洩の機会を低減させる。
  • エクステンションの公開時に自動セキュリティ・スキャンを追加し、ユーザーが手にする前に、悪意のコード・パターンを検出する。
  • 他のマーケットプレイス運営者との連携を拡大し、エコシステム全体で脅威インテリジェンスとセキュリティのベストプラクティスを共有していく。

Open VSX が強調するのは、安全なサプライチェーン・セキュリティの実現は、開発者/レジストリメンテナ/コミュニティにおける共通の責任である点だ。

Open VSX は、透明性を維持しながら、イノベーションを安全かつ確実に継続していく、回復力の高いオープンソース環境の構築に引き続き取り組んでいくという。

今回の Open VSX の問題は、開発者トークンが誤って公開リポジトリに含まれていたことに起因します。Open VSX 自身のシステムが破られたわけではなく、個々の開発者側の管理ミスによる漏洩です。それらのトークンを介して攻撃者は、悪意のエクステンションを登録し、認証情報を盗み出そうとしました。オープンソースの環境では、こうした個人レベルの設定ミスから、サプライチェーン攻撃へと拡大していくケースがあると、この記事は指摘しています。よろしければ、Open VSX で検索と、カテゴリ Repository を、ご利用ください。