B
今週中
GitHubの従業員が公式マーケットプレイスから悪意のあるVS Code拡張機能をインストールしたことにより、内部リポジトリ約3,800件が流出しました
📌 一言でいうと
GitHubの従業員が公式マーケットプレイスから悪意のあるVS Code拡張機能をインストールしたことにより、内部リポジトリ約3,800件が流出しました。攻撃グループのTeamPCPが犯行を主張し、5万ドルの身代金を要求しています。GitHubは侵害されたデバイスを隔離し、当該拡張機能をマーケットプレイスから削除して対応にあたりました。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
- 社内で開発者が『Visual Studio Code (VS Code)』を利用している
- VS Codeの拡張機能(プラグイン)を、公式マーケットプレイスから自由にインストールできる設定になっている
- GitHubなどのソースコード管理ツールを利用しており、PCにアクセス権限を持たせている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
公式マーケットプレイスであっても、信頼性の低いサードパーティ製拡張機能のインストールを制限すること。また、開発環境における特権アクセスの最小化と、EDRによる不審な挙動の監視を強化することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】開発ツール(VS Code等)の拡張機能インストールに関する注意について
お疲れさまです。情報システム担当です。
開発者が利用するエディタの拡張機能を通じて、企業の内部データが流出する被害が発生しました。
ご協力をお願いしたいこと:
1. 公式ストアであっても、出所不明な拡張機能やレビューの少ないプラグインを安易にインストールしないこと
2. 不審な挙動(意図しない通信や権限要求)に気づいた場合は、すぐに情報システム部へ報告すること
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
開発者が利用するエディタの拡張機能を通じて、企業の内部データが流出する被害が発生しました。
ご協力をお願いしたいこと:
1. 公式ストアであっても、出所不明な拡張機能やレビューの少ないプラグインを安易にインストールしないこと
2. 不審な挙動(意図しない通信や権限要求)に気づいた場合は、すぐに情報システム部へ報告すること
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Caution Regarding Installation of Editor Extensions (VS Code, etc.)
Dear employees,
We are issuing this alert following a security incident where internal corporate data was leaked via a malicious editor extension.
Requested Actions:
1. Avoid installing extensions or plugins from unknown sources or those with few reviews, even if they are available on official marketplaces.
2. Immediately report any suspicious behavior (e.g., unexpected network activity or permission requests) to the IT Security team.
Deadline: Immediate
Dear employees,
We are issuing this alert following a security incident where internal corporate data was leaked via a malicious editor extension.
Requested Actions:
1. Avoid installing extensions or plugins from unknown sources or those with few reviews, even if they are available on official marketplaces.
2. Immediately report any suspicious behavior (e.g., unexpected network activity or permission requests) to the IT Security team.
Deadline: Immediate
件名: 【共有】VS Code 拡張機能を介したサプライチェーン攻撃による GitHub 侵害について
お疲れさまです。VS Code 拡張機能を悪用したサプライチェーン攻撃に関する情報共有です。
■ 概要
公式マーケットプレイスに配布されていたトロイの木馬化した VS Code 拡張機能がインストールされ、GitHub の内部リポジトリ約 3,800 件が流出しました。攻撃者は TeamPCP と名乗り、金銭を要求しています。
■ 影響範囲
- VS Code および同様のプラグインエコシステムを利用する開発環境
■ 対応手順
1. 開発端末におけるインストール済み拡張機能の棚卸しと、不審なプラグインの削除
2. 拡張機能のインストール権限の制限(ポリシーによるホワイトリスト化の検討)
3. 開発端末からの不審な外部通信(C2通信)の監視強化
■ 参考情報
- secaffairs 報道記事
対応優先度: 高
対応期限: 速やかに
お疲れさまです。VS Code 拡張機能を悪用したサプライチェーン攻撃に関する情報共有です。
■ 概要
公式マーケットプレイスに配布されていたトロイの木馬化した VS Code 拡張機能がインストールされ、GitHub の内部リポジトリ約 3,800 件が流出しました。攻撃者は TeamPCP と名乗り、金銭を要求しています。
■ 影響範囲
- VS Code および同様のプラグインエコシステムを利用する開発環境
■ 対応手順
1. 開発端末におけるインストール済み拡張機能の棚卸しと、不審なプラグインの削除
2. 拡張機能のインストール権限の制限(ポリシーによるホワイトリスト化の検討)
3. 開発端末からの不審な外部通信(C2通信)の監視強化
■ 参考情報
- secaffairs 報道記事
対応優先度: 高
対応期限: 速やかに
Subject: [Intel] GitHub Breach via Malicious VS Code Extension
Dear Security Team,
This is a technical briefing regarding a supply chain attack targeting VS Code extensions.
■ Overview
A trojanized VS Code extension distributed via the official marketplace was used to compromise a GitHub employee's device, resulting in the exfiltration of ~3,800 internal repositories. The actor, TeamPCP, is demanding $50k.
■ Scope
- Development environments utilizing VS Code or similar plugin-based editors.
■ Mitigation Steps
1. Audit installed extensions on developer workstations and remove unauthorized/suspicious plugins.
2. Implement strict policies or whitelists for allowed extensions.
3. Enhance monitoring for anomalous outbound traffic from developer endpoints.
■ Reference
- secaffairs report
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical briefing regarding a supply chain attack targeting VS Code extensions.
■ Overview
A trojanized VS Code extension distributed via the official marketplace was used to compromise a GitHub employee's device, resulting in the exfiltration of ~3,800 internal repositories. The actor, TeamPCP, is demanding $50k.
■ Scope
- Development environments utilizing VS Code or similar plugin-based editors.
■ Mitigation Steps
1. Audit installed extensions on developer workstations and remove unauthorized/suspicious plugins.
2. Implement strict policies or whitelists for allowed extensions.
3. Enhance monitoring for anomalous outbound traffic from developer endpoints.
■ Reference
- secaffairs report
Priority: High
Deadline: Immediate