VSCodeの拡張機能に悪意あるコードが含まれていたとされる記事が気になりました。
セキュリティ研究室が「Dracula official」を、模倣した「Darcula」という名前の拡張機能を作成しVSCodeマーケットプレイスの脅威状況を明らかにするという内容です。
Daruculaのコードは、正規の「Dracula」のコードの中に悪意ある通信を発生させるコードを紛れ込ませました。
これらの悪意あるコードは、EDRなどのエンドポイント検出ツールに検出されないことが指摘されています。
VSCode は、多数のファイルを読み取り、多数のコマンドを実行して子プロセスを作成するように構築されているため、EDR では、VSCode からのアクティビティが正当な開発者アクティビティなのか、悪意のある拡張機能なのかを判断できません。
セキュリティ研究者は、VSCodeマーケットプレイスの脅威状況を明らかにするために詳細調査を行いました。
その結果、以下の脅威が発見されています。
- 既知の悪意のあるコードを含む1,283 件(インストール数 2 億 2,900 万件)。
- 8,161 がハードコードされた IP アドレスで通信しています。
- 1,452 個の不明な実行可能ファイルが実行中です。
- 2,304 件 は別の出版社の Github リポジトリを使用しており、模倣品であることを示しています。
VSCodeの拡張機能では、攻撃者にとって都合の良い攻撃領域で非常にリスクが高い分野といえます。
特に開発に利用している企業は、警戒が必要になります。
セキュリティ研究者は、悪意ある拡張機能を検出する「ExtensionTotal」を来週にリリースする予定です。
Meta社の広告で投資詐欺などの被害が増えていますが、プラットフォーム側が攻撃者の攻撃に加担している現状なんとかならないんでしょうか。
最終的には自分の身は自分で守るということが必要なのは社会としてどうなのか。。
