速報
悪意あるVS Code拡張機能がソースコードを中国のサーバーに流出させる
1分で読めますソース: The Hacker News
サイバーセキュリティ研究者が、AIコーディングアシスタントを装い、開発者のソースコードを中国のサーバーに流出させるVS Code拡張機能を発見。150万インストールを記録。
悪意あるVS Code拡張機能がソースコードを中国のサーバーに流出させる
サイバーセキュリティ研究者は、AI搭載のコーディングアシスタントを装いながら、開発者のソースコードを中国にあるサーバーに密かに流出させる2つの悪意あるMicrosoft Visual Studio Code(VS Code)拡張機能を特定しました。これらの拡張機能は、公式のVisual Studio Marketplaceからダウンロード可能な状態で提供されており、累計150万回のインストールを記録しています。
技術的詳細
これらの悪意ある拡張機能は、セキュリティ企業Aqua Securityによって発見され、以下の主要な調査結果が明らかになりました:
- 拡張機能の名称:2つの拡張機能は、コーディング効率を向上させるAI駆動のツールとして販売されていますが、さらなる悪用を防ぐため、具体的な名前は公表されていません。
- データ流出:これらの拡張機能には、開発者のプロジェクトからソースコードを収集し、中国にあるリモートサーバーに送信する隠し機能が含まれています。
- 持続性:拡張機能はバックグラウンドで動作し続け、ユーザーに気づかれることなくデータを継続的に監視・流出させます。
- Marketplaceでの存在:悪意ある性質にもかかわらず、これらの拡張機能は公式のVS Code Marketplaceで依然としてアクセス可能であり、プラットフォームの審査プロセスに対する懸念が高まっています。
影響分析
これらの拡張機能の発見は、開発者や組織に対して重大なリスクをもたらします:
- 知的財産の窃盗:ソースコードへの不正アクセスは、独自のアルゴリズム、企業秘密、機密性の高いビジネスロジックの窃盗につながる可能性があります。
- サプライチェーンリスク:侵害された開発環境は、さらなる攻撃の足がかりとなり得ます。これには、バックドアや悪意あるコードのソフトウェアプロジェクトへの挿入が含まれます。
- 規制およびコンプライアンス違反:機密性の高いデータや規制対象のデータを含むソースコードが流出すると、組織は法的な問題に直面する可能性があります。
推奨対策
セキュリティ専門家および開発者は、以下の対策を講じることが推奨されます:
- インストール済み拡張機能の監査:インストール済みのVS Code拡張機能を確認し、不明または不審なツール、特にAI機能を謳うものを削除してください。
- ネットワークトラフィックの監視:ネットワーク監視ツールを使用して、特に海外のサーバーへの不審なアウトバウンド接続を検出してください。
- 最小権限の原則の実施:VS Code拡張機能の権限を制限し、悪意あるツールによる潜在的な被害を最小限に抑えてください。
- 不審な拡張機能の報告:悪意ある拡張機能が特定された場合は、Visual Studio Marketplaceを通じてMicrosoftに報告し、削除に協力してください。
- 最新情報の入手:サイバーセキュリティ研究者やベンダーからの更新情報をフォローし、開発環境における新たな脅威に対する認識を維持してください。
Microsoftは、公式Marketplaceにおけるこれらの拡張機能の存在についてまだコメントしていません。この事件は、広く使用されている開発プラットフォームにおけるサードパーティー拡張機能に関連するリスクの増大を浮き彫りにしています。