Gate Newsメッセージ、4月28日――セキュリティ研究者らは、GlassWormマルウェアがOpenVSXのレジストリに仕込んだ73件の悪意ある拡張機能を特定した。うち6件はすでに有効化され、開発者の暗号資産ウォレットと資格情報を盗み出している。拡張機能は、正規の掲載情報の偽のコピーとしてアップロードされており、悪意あるコードが後続のアップデートを通じて注入された。
GlassWormは2025年10月に初めて登場し、暗号資産ウォレットのデータや開発者の資格情報を狙うコードを隠すために不可視のUnicode文字を使用した。その後、このキャンペーンはnpmパッケージ、GitHubリポジトリ、Visual Studio Code Marketplace、OpenVSXへと拡大した。2026年3月中旬には数百のリポジトリと数十の拡張機能に大規模な波が及び、複数のセキュリティ研究グループが介入を促された。攻撃者は、遅延有効化の戦略を採用しており、まずクリーンな拡張機能を配布してインストール基盤を築いたうえで、アップデートを通じてマルウェアを投入する。Socketの研究者らは、3つの配信方法を特定した。CLIコマンドを介してGitHubから2つ目のVSIXパッケージを読み込む方法、.nodeファイルのようなプラットフォーム固有のコンパイルモジュールでコアとなる悪意あるロジックを展開する方法、実行時にデコードして悪意あるペイロードをダウンロードしインストールする、強力に難読化されたJavaScriptを使う方法である。
脅威はOpenVSXの範囲を超える。4月22日、npmレジストリは公式のパッケージ名のまま、93分間にわたりBitwardenのCLIの悪意あるバージョンを一時的にホストした。侵害されたパッケージは、GitHubトークン、npmトークン、SSHキー、AWSおよびAzureの資格情報、GitHub Actionsのシークレットを盗み出した。5万社超の企業にまたがって1,000万人以上のユーザーにサービスを提供しているBitwardenは、Checkmarxの研究者が追跡するより広範なキャンペーンとの関連を確認した。サプライチェーン攻撃は、パッケージの公開とコンテンツ検証の間にある時間差を悪用する。Sonatypeは、2025年に登録レジストリへ侵入している約454,600件の悪意あるパッケージがあると報告している。
Socketは、問題の73件のフラグ付きOpenVSX拡張機能のいずれかをインストールした開発者に対し、すべてのシークレットをローテーションし、開発環境をクリーンアップすることを推奨している。セキュリティ観測者は、今後数日で残りの67件の休眠中拡張機能が有効化されるのか、またOpenVSXが拡張機能アップデートに対してより厳格なレビュー管理を導入するのかを監視している。
Related News
