C
月内に
GlassWormキャンペーンが進化し、Zig言語でコンパイルされたドロッパーを悪用して開発ツールを感染させる手法
📌 一言でいうと
GlassWormキャンペーンが進化し、Zig言語でコンパイルされたドロッパーを悪用して開発ツールを感染させる手法が確認されました。攻撃者はWakaTimeを装った偽のOpenVSX拡張機能を配布し、システム上の複数のIDEを密かに感染させます。以前のnpmパッケージやブラウザ拡張機能を用いた攻撃から、よりステルス性の高いネイティブコードへの移行が見られます。
🏢影響範囲
ソフトウェア開発者、IDE(VS Code等)を利用する組織、OpenVSX等の拡張機能マーケットプレイスを利用するユーザー
✅該当時の対応
信頼できないサードパーティ製拡張機能のインストールを禁止し、公式または検証済みのソースからのみ導入すること。また、開発環境におけるバイナリの不審な挙動を監視するEDRの導入を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GlassWormによるIDE拡張機能を悪用したサプライチェーン攻撃について
お疲れさまです。GlassWormキャンペーンの最新動向に関する情報共有です。
■ 概要
攻撃者がWakaTimeを装った偽のOpenVSX拡張機能を配布し、Zig言語で記述されたドロッパーを用いてシステム内の複数のIDEを感染させる攻撃が確認されました。このドロッパーはステルス性を高めるための間接的な経路として機能し、最終的にRAT等のマルウェアを配備します。
■ 影響範囲
- VS Code等のIDEを利用し、OpenVSX等のマーケットプレイスから拡張機能を導入している開発環境
■ 対応手順
1. 開発端末における不審なIDE拡張機能(特にWakaTimeを模倣したもの)のインストール状況を確認し、削除する。
2. 開発環境における未知のバイナリ実行を検知・遮断するEDRポリシーの適用を確認する。
3. 開発者に対し、信頼できないソースからの拡張機能導入を禁止するガイドラインを再徹底する。
■ 参考情報
- Aikido Report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。GlassWormキャンペーンの最新動向に関する情報共有です。
■ 概要
攻撃者がWakaTimeを装った偽のOpenVSX拡張機能を配布し、Zig言語で記述されたドロッパーを用いてシステム内の複数のIDEを感染させる攻撃が確認されました。このドロッパーはステルス性を高めるための間接的な経路として機能し、最終的にRAT等のマルウェアを配備します。
■ 影響範囲
- VS Code等のIDEを利用し、OpenVSX等のマーケットプレイスから拡張機能を導入している開発環境
■ 対応手順
1. 開発端末における不審なIDE拡張機能(特にWakaTimeを模倣したもの)のインストール状況を確認し、削除する。
2. 開発環境における未知のバイナリ実行を検知・遮断するEDRポリシーの適用を確認する。
3. 開発者に対し、信頼できないソースからの拡張機能導入を禁止するガイドラインを再徹底する。
■ 参考情報
- Aikido Report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Supply Chain Attack via IDE Extensions by GlassWorm
Dear Security Team,
We are sharing intelligence regarding the evolution of the GlassWorm campaign.
■ Overview
Threat actors are distributing a malicious OpenVSX extension impersonating 'WakaTime'. This extension bundles a Zig-compiled binary that acts as a stealthy dropper, designed to identify and infect multiple IDEs present on the victim's system to deploy further payloads (e.g., RATs).
■ Scope
- Development environments using IDEs (such as VS Code) and OpenVSX extension marketplaces.
■ Mitigation Steps
1. Audit installed IDE extensions for unauthorized or suspicious entries, specifically those mimicking WakaTime.
2. Ensure EDR policies are configured to detect and block suspicious binary executions within developer tool directories.
3. Reinforce security guidelines prohibiting the installation of extensions from untrusted sources.
■ Reference
- Aikido Report
Priority: High
Deadline: Immediate review
Dear Security Team,
We are sharing intelligence regarding the evolution of the GlassWorm campaign.
■ Overview
Threat actors are distributing a malicious OpenVSX extension impersonating 'WakaTime'. This extension bundles a Zig-compiled binary that acts as a stealthy dropper, designed to identify and infect multiple IDEs present on the victim's system to deploy further payloads (e.g., RATs).
■ Scope
- Development environments using IDEs (such as VS Code) and OpenVSX extension marketplaces.
■ Mitigation Steps
1. Audit installed IDE extensions for unauthorized or suspicious entries, specifically those mimicking WakaTime.
2. Ensure EDR policies are configured to detect and block suspicious binary executions within developer tool directories.
3. Reinforce security guidelines prohibiting the installation of extensions from untrusted sources.
■ Reference
- Aikido Report
Priority: High
Deadline: Immediate review