Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報告　すでに削除済みだが配布開始から1年以上経過：PII窃取やバックドアを狙うマルウェアも検出

Check Point Software TechnologiesはVisual Studio Codeの拡張機能ハブVSCode Extensions Marketplaceを調査し、悪意あるコードが埋め込まれた拡張機能を発見したと発表した。

» 2023年06月05日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Check Point Software Technologiesは2023年5月16日（米国時間）、コードエディタ「Visual Studio Code」（以下、VSCode）の拡張機能ハブ「VSCode Extensions Marketplace」を調査し、悪意のあるコードが埋め込まれた拡張機能を発見したと発表した。同社から通知を受けたMicrosoftは、該当の拡張機能を削除した。

　VSCode Extensions Marketplaceは、VSCodeで利用可能な拡張機能を見つけることができるハブだ。ここにはMicrosoft公式の拡張機能だけでなく、コミュニティーが開発したサードパーティーの拡張機能も含まれる。

VSCode Extensions Marketplace

　2023年5月時点で、マーケットプレースには約5万個の拡張機能が掲載されている。VSCodeの拡張機能は、エディタの機能をアップグレードするためにインストールされるアドオンで、新しい機能の追加やプログラミング言語のサポート、外部ツールやサービスとの統合などに使用できる。

　悪意ある拡張機能は、マルウェアのインストール、ユーザーデータの盗難、その他有害な動作を行い、ユーザーにセキュリティリスクをもたらす。だが、MicrosoftはVSCode Extensions Marketplaceに対してセキュリティ対策を実施しており、悪意のある拡張機能は今日に至るまでほとんど公開されていないという。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

プログラマー以外にもおすすめ　「Visual Studio Code」のインストールから基本設定まで
プログラミング用としては、利用者が多いコードエディタの「Visual Studio Code」。拡張機能が豊富で、エンドユーザーや管理者であっても、高機能なテキストエディタとして活用できるものとなっている。特に最近では、ツール類の設定ファイルがJSON形式やXML形式になっている。これらを編集する際にも、Visual Studio Codeは便利だ。
OpenSSF、ソフトウェアサプライチェーンのセキュリティ強化フレームワーク「SLSA v1.0」を公開
OpenSSFは、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。
「サプライチェーン攻撃」とは何か？　弱点を発見する方法は？　どう対策すべきか？
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。