Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバックドアを狙うマルウェアも検出
Check Point Software TechnologiesはVisual Studio Codeの拡張機能ハブVSCode Extensions Marketplaceを調査し、悪意あるコードが埋め込まれた拡張機能を発見したと発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Check Point Software Technologiesは2023年5月16日(米国時間)、コードエディタ「Visual Studio Code」(以下、VSCode)の拡張機能ハブ「VSCode Extensions Marketplace」を調査し、悪意のあるコードが埋め込まれた拡張機能を発見したと発表した。同社から通知を受けたMicrosoftは、該当の拡張機能を削除した。
VSCode Extensions Marketplaceは、VSCodeで利用可能な拡張機能を見つけることができるハブだ。ここにはMicrosoft公式の拡張機能だけでなく、コミュニティーが開発したサードパーティーの拡張機能も含まれる。
2023年5月時点で、マーケットプレースには約5万個の拡張機能が掲載されている。VSCodeの拡張機能は、エディタの機能をアップグレードするためにインストールされるアドオンで、新しい機能の追加やプログラミング言語のサポート、外部ツールやサービスとの統合などに使用できる。
悪意ある拡張機能は、マルウェアのインストール、ユーザーデータの盗難、その他有害な動作を行い、ユーザーにセキュリティリスクをもたらす。だが、MicrosoftはVSCode Extensions Marketplaceに対してセキュリティ対策を実施しており、悪意のある拡張機能は今日に至るまでほとんど公開されていないという。
しかしながら、Check Pointの調査では悪意のあるコードを含んだ拡張機能が発見された。また、疑わしいコードパターンを持つ拡張機能も見つかったが、こちらは悪意あるマルウェアであることを示す指標はなかった。以下はその詳細である。
4万5000回以上インストールされた拡張機能も
今回検出された3種類の悪意ある拡張機能を紹介する。
prettiest java
「prettiest java」という名称は、人気の「Prettier-Java」という拡張機能の名前に似せたものである。拡張機能のコードを調べると、一般的なPII(Personally Identifiable Information:個人識別情報)を窃取するコードが見つかった。このコードは「The Python Package Index」(PyPI)を介して配布される拡張機能やパッケージでよく見られ、ローカルの秘密情報を検索し、DiscordのWebhookを使って攻撃者に送信するものだ。
VSCodeのマーケットプレースで各拡張機能に表示される説明文
Theme Darcula dark
「Theme Darcula dark」は、「VSCode上でDraculaテーマをベースにしながら、より一貫性のあるカラースキームを提供することで、開発者の目の負担を軽減し、コーディング体験の向上を目指す」ものだという。この拡張機能は、4万5000回以上インストールされ、非常に人気があった。しかし、シンプルなテーマ設定でコードは含まれていないはずが、リモートマシンにインストーラーの設定に関する多くのメタデータを送信するPII窃取コードが含まれていた。
python-vscode
「python-vscode」には拡張機能についての説明がない。Python開発のVSCodeを有効にするものとユーザーに誤認させ、1384件のダウンロード数に結び付いたことが予測される。拡張機能のコードは、インストーラーマシンに挿入される難読化されたC#のシェルインジェクターコードパターンであることが分かった。
疑わしいコードだが明確に「悪意を持っている」とはいえないもの
疑わしいコードパターンを使用しているが、明確な証拠がないため「悪意を持っている」とは言い切れない拡張機能も複数あった。1つはプライベートレジストリを使用して必要なパッケージをインストールする拡張機能。プライベートレジストリを使用することで、悪意のあるパッケージを紛れ込ませる手段として悪用される可能性がある。
もう1つは一般的なIPアドレスからリソースをダウンロードする拡張機能で、ダウンロードした拡張機能が悪意のあるコードやマルウェアである可能性がある。
Microsoftへの報告と対応
Check PointがVSCodeチームに調査結果を報告し、該当の拡張機能が削除されるまでの経過は以下の通り。
- 2023年5月4日 VSCode側に結果報告を提出
- 2023年5月8日 VSCodeチームが内容を確認
- 2023年5月14日 悪意のある拡張機能がVSCodeマーケットプレースから削除される
増加するリスク
同社が見つけた悪意ある拡張機能の多くは、マーケットプレース上で配布が開始されてから1年以上経過している。
同社は「この事実は、オープンソースの拡張機能が善意のものかどうかは保証されていないこと、ユーザーにも検証する責任があることを示している。ソフトウェアサプライチェーン攻撃が増加の一途をたどる中、自分たちが関与していないソフトウェアは、各構成要素を二重に確認することが重要である」と指摘した。
関連記事
プログラマー以外にもおすすめ 「Visual Studio Code」のインストールから基本設定まで
プログラミング用としては、利用者が多いコードエディタの「Visual Studio Code」。拡張機能が豊富で、エンドユーザーや管理者であっても、高機能なテキストエディタとして活用できるものとなっている。特に最近では、ツール類の設定ファイルがJSON形式やXML形式になっている。これらを編集する際にも、Visual Studio Codeは便利だ。
OpenSSF、ソフトウェアサプライチェーンのセキュリティ強化フレームワーク「SLSA v1.0」を公開
OpenSSFは、「Supply-chain Levels for Software Artifacts」(SLSA)のVersion 1.0を公開した。
「サプライチェーン攻撃」とは何か? 弱点を発見する方法は? どう対策すべきか?
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。