VS Code エクステンションを悪用する Kimsuky:ランサムウェアと永続化のためのキャンペーンとは?

Threat Actors May Abuse VS Code Extensions to Deploy Ransomware and Use GitHub as C2 Server

2025/11/07 CyberSecurityNews — 開発者向けエクステンションを感染経路として悪用する北朝鮮の脅威アクターが、その攻撃戦略を進化させている。最近のセキュリティ調査によると、2012年から活動する国家支援グループ Kimsuky は、 JavaScript ベースのマルウェアを用いてシステムに侵入し、永続的な Command-and-Control (C2) インフラを構築しているという。これまでの攻撃は、政府機関/シンクタンク/専門家を標的とする活動に集中していたが、今回のキャンペーンが示すのは、技術力の拡大とサプライチェーン攻撃の高度化である。

この攻撃チェーンは、シンプルで効果的な配信メカニズムから始まるが、その起点となるのは、初期ドロッパーとして機能する “Themes.js” という JavaScript ファイルである。そのサンプルから判明したのは、高度に難読化されたマルウェアとは異なり、try-catch ブロックで囲まれた単純なコードを使用し、ステルス性より機能性を優先していることだ。

このファイルは、攻撃者が管理インフラへの接続を開始するためのものであり、悪意のサブドメインを作成できるドメイン・インフラ・サービス “medianewsonline[.]com” 上にホストされている。こうした正規ホスティング・サービス上にインフラを配置することで、セキュリティ・システムによる検知を回避する可能性が高まる。Pulsedive のセキュリティ研究者たちが指摘するのは、感染チェーンの解析中に発見した、この多段階攻撃アーキテクチャの巧妙さである。

Landing page of medianewsonline[.]com (Source – Pulsedive)

このマルウェアは、カスケード式のペイロード配信システムを介して動作し、各段階が後続コンポーネントをダウンロードして実行する仕組みになっている。また、初期 JavaScript ファイルは “iuh234[.]medianewsonline[.]com/dwnkl.php” へ GET リクエストを送信し、侵害したマシンのホスト名とハードコードされた認証キーを送り届ける。この偵察フェーズにより、攻撃者は追加のペイロードを展開する前に高価値ターゲットを特定できる。

感染チェーンの分析

このキャンペーンの第2 段階は偵察を担い、さらなる悪用に不可欠なシステム情報を収集する。最初の GET リクエストに C2 サーバが応答すると、侵害したシステム環境を体系的に列挙するための新たな JavaScript ペイロードが配信され、そこに含まれる5つの機能により、ハードウェア仕様やネットワーク構成などのシステム情報を収集するコマンドが実行される。

続いて、実行中の全プロセスの包括的なリストを取得し、インストール済みのセキュリティ・ソフトウェアなどの情報を攻撃者に提供し、ペイロード実行を妨げる可能性のあるプロセスを排除していく。

さらに、偵察フェーズでは “C:\Users” ディレクトリ内のファイルも列挙され、ユーザー・プロファイルを標的とするための価値のあるデータや設定ファイルが特定される。そして、各コマンドの出力はキャビネット (.cab) ファイルにパッケージ化され、同じ C2 サーバへの POST リクエストを介して外部に流出していく。

このマルウェアは、””HKCU\Console\CodePage” レジストリキーを UTF-8 エンコーディングに変更し、データ収集時の文字処理を適切に行うという技術力の高さを示している。さらに、機密データを流出させた後に、一時ファイルは体系的に削除されるため、フォレンジック分析を妨げることになる。この永続化メカニズムが明らかにするのは、長期的なアクセスを狙う攻撃者の指向性である。

それに加えて、このマルウェアは自身を %APPDATA%\Microsoft\Windows\Themes\Themes.js に書き込み、 Windows Theme Manager というスケジュール・タスクを作成する。この作成されたタスクは、”wscript.exe” を用いて JavaScript ドロッパーを1分ごとに実行する。

こうした、正規の Windows スケジューリング・ユーティリティを利用する手法は、権限昇格を必要とせずに C2 接続を維持するため、権限昇格アラートに依存する防御側にとって検知が困難となる。

このキャンペーンの最終段階では、Word ドキュメント配信コンポーネントが導入され、ソーシャル・エンジニアリングのルアーとして機能する可能性もある。ただし、セキュリティ研究者は、この文書にはマクロが埋め込まれておらず、空であることを確認している。それが示唆するのは、特定の標的に対するプレースホルダーまたは二次的な感染ベクターとして機能する可能性である。

この感染チェーン全体は、従来の検出を回避しながら、複数の実行メカニズムを積み重ねて、堅牢な永続化を確立するよう設計された、マルウェア・エンジニアリングを示している。

Kimsuky 攻撃に関する最新報告では、開発者向けエクステンションや正規ホスティングの悪用に要因があると解説されています。この攻撃チェーンの起点となる “Themes.js” は難読化せずに、シンプルな JS でホスト名と認証キーを送信し、高価値ターゲットを選別した後に、多段階でペイロードを展開すると、この記事は指摘しています。よろしければ、Kimsuky で検索を、ご参照ください。