Open VSX の Sleeper エクステンション:GlassWorm サプライチェーンに関連する 73件を検出

73 Open VSX Sleeper Extensions Linked to GlassWorm Activate New Malware Campaign

2026/04/26 CyberSecurityNews — 新たな Sleeper エクステンション 73 件の発見が示すのは、Open VSX マーケットプレイスを標的とする GlassWorm サプライチェーン攻撃の拡大である。2026年04月に特定された、このクラスターが示すのは、脅威アクターによるソフトウェア開発者向けマルウェア配布手法の変化である。

この活動は、2026年03月に発見された大規模な波に続くものである。そのときには、GlassWorm が関与する 72 件の悪意の Open VSX エクステンションが、研究者たちにより報告されていた。

従来のバリアントはエクステンション依存関係を悪用し、悪意のローダーをサイレント・インストールするものだった。しかし 2026年04月の新クラスターは、セキュリティ・スキャンを回避するための戦術が進化している。

Sleeper エクステンション戦略

Sleeper エクステンションとは、公開された後に武器化される欺瞞のパッケージである。これらのエクステンションは、初期段階では無害に見えるものであり、信用と信頼を獲得して、ダウンロード数を高めていく。

この攻撃者の戦術は、新規作成した GitHub アカウントを用いて、人気ツールのクローンを公開するというものだ。

例として、この攻撃者は、Visual Studio Code 用の偽 Turkish Language Pack を作成している。正規版と極めて類似させ、アイコンと説明文をコピーしながら、公開者名のみを変更している。

それらクローン・ツールを、開発者がインストールしても、攻撃者は一定の期間にわたり待機状態を維持し、その後にマルウェアを配信するためのソフトウェア・アップデートを配布する。新たに発見された 73 件のうち、現時点で少なくとも 6 件がペイロード配信に使用されている。

A fake Turkish language pack for Visual Studio Code(source :socket)
A fake Turkish language pack for Visual Studio Code(source :socket)
進化する配信メカニズム

最新の攻撃におけるエクステンションは、外部からペイロードを取得するだけの軽量化されたローダーとしてのみ機能する。

つまり、悪意のコードはエクステンションのソースコード内には存在しないため、その分だけ検知回避の可能性が高まる。

このキャンペーンは、主に 2 種類の実行方式を使用する:

Native バイナリ:”.node” ファイルがエクステンション・コード内に埋め込まれる。単純な JavaScript がバイナリを実行し、内部に埋め込まれた URL から VS Code や Cursor 向けの “malicious .vsix” ファイルをダウンロードする

難読化 JavaScript:高度に難読化された悪意のロジックは、バイナリ・ファイルに依存しない。実行時に自己デコードし、GitHub リリースから “malicious .vsix” ペイロードを取得し、コマンドライン経由でインストールする

侵害指標 (IoC)

セキュリティ・チームにとって必要なことは、以下の指標を監視することだ:

  • Native インストーラ・バイナリ (SHA256):1b62b7c2ed7cc296ce821f977ef7b22bae59ef1dcdb9a34ae19467ee39bcf168
  • ダウンロードされる VSIX payload (SHA256):97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfd
  • 悪意の GitHub ホスティング:github[.]com/SquadMagistrate10/wnxtgkih
  • 確認済みの悪意のエクステンション:outsidestormcommand.monochromator-theme、boulderzitunnel.vscode-buddies

開発者にとって必要なことは、Open VSX マーケットプレイスからエクステンションをインストールする前に、公開者ネームスペースおよびダウンロード数を慎重に検証することだと、Socket Research Team は注意を促している。

開発者が使用するツールを標的とする、巧妙な時間差サプライチェーン攻撃について紹介する記事です。

訳者後書:この問題の背景にあるのは、Open VSX マーケットプレイスの信頼を悪用し、初期状態では無害なふりをして潜伏する、Sleeper エクステンションという手法です。攻撃者は、人気のある正規ツールの見た目や機能をコピーして公開し、十分な利用者数が集まるまで待機します。その後に、普通に見えるアップデートを装い、外部から悪意のプログラム (VSIX ペイロード) をサイレント・インストールさせる仕組みを組み込んでいます。ご利用のチームは、ご注意ください。よろしければ、Open VSX での検索結果も、ご参照ください。