Researchers Find Malicious VS Code, Go, npm, and Rust Packages Stealing Developer Data
2025/12/09 TheHackerNews — Microsoft Visual Studio Code (VS Code) マーケットプレイスに存在し、開発者のマシンに情報窃取型マルウェアを感染させる2つの新たなエクステンションが、サイバー・セキュリティ研究者たちにより発見/報告された。これら悪意の VS Code エクステンションは、プレミアム・ダークテーマや人工知能 (AI) 搭載のコーディング・アシスタントを装うが、実際には追加ペイロードのダウンロード/スクリーンショットの撮影/データ窃取といった隠れた機能を秘めている。それにより収集された情報は、攻撃者が管理するサーバに送信される。
Koi Security の Idan Dardikman は、「ユーザーのコード/メール/Slack DM などの、画面に表示されている情報が攻撃者に見られてしまう。ただし、それは始まりに過ぎない。この侵害の先には、Wi-Fi パスワードの窃取/クリップボードの読み取り、ブラウザ・セッションの乗っ取りなどが待ち構えている」と述べている。
この悪意のエクステンションは、以下の通りである。
- BigBlack.bitcoin-black (インストール数 16) – 2025年12月5日に削除
- BigBlack.codo-ai (インストール数 25) – 2025年12月8日に削除
マーケットプレイスから削除されたエクステンションのリストによると、同じパブリッシャーによる “BigBlack.mrbigblacktheme” という3つ目のパッケージも削除されている。Dardikman は、「このエクステンションにも同様のマルウェアが含まれていたが、すぐに削除されたため実環境への影響はなかった」と述べている。
前述の BigBlack.bitcoin-black は、VS Code のすべてのアクションで実行されるものだ。また、BigBlack.codo-ai は、動作中のツール内に悪意の機能を埋め込み、検出を回避するものだ。
以前のバージョンでのマルウェア取得方式は、PowerShell スクリプトを実行し、外部サーバ (syn1112223334445556667778889990[.]org) からパスワード保護 ZIP ファイルをダウンロードするというものだった。続いて、Windows ネイティブ Expand-Archive/.NET System.IO.Compression/DotNetZip/7-Zip (インストールされている場合) などから、メイン・ペイロードが抽出される仕組みだった。
しかし、この攻撃者は、PowerShell ウィンドウを誤ってユーザーに表示してしまうバージョンを配布したとされる。そのため、新バージョンではウィンドウを非表示にし、curl コマンドで実行ファイルと DLL をダウンロードするバッチスクリプトへ切り替え、プロセスを効率化したことが判明している。
実行ファイルは正規の Lightshot バイナリであり、DLL ハイジャックにより不正 DLL (Lightshot.dll) をロードする。この DLL が収集するのは、クリップボードの内容/インストール済みアプリ一覧/実行中プロセス/デスクトップ・スクリーンショット/Wi-Fi 認証情報などの詳細なシステム情報である。また Google Chrome と Microsoft Edge をヘッドレスモードで起動し、保存 Cookie を取得してユーザー・セッションをハイジャックする。
Idan Dardikman は、「標的とされる開発者たちが、無害に見えるテーマや便利な AI ツールをインストールすると、それから数秒以内に、Wi-Fi パスワード/クリップボード内容/ブラウザ・セッションなどが盗まれ、リモート・サーバに送信される可能性がある」と述べている。
VS Code のエクステンションを装うマルウェアが発見されましたが、見た目では安全性を判断しにくい点が解説されています。テーマや AI 支援ツールを装うエクステンションからペイロードをダウンロードし、画面情報やブラウザのセッション Cookie まで盗み取る仕組みになっています。また、PowerShell や DLL ハイジャックといった、一般的な動作に紛れることで検出を回避していると、この記事は指摘しています。よろしければ、VS Code での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.