B
今週中
Open VSXリポジトリにおいて、GlassWorm v2マルウェアを配布する73個の偽VS Code拡張機能
📌 一言でいうと
Open VSXリポジトリにおいて、GlassWorm v2マルウェアを配布する73個の偽VS Code拡張機能が発見されました。これらの拡張機能は正当なものを模倣しており、一部は当初無害な「スリーパー」として動作し、後のアップデートで悪意のある機能を有効化します。主な目的は情報窃取であり、すでに320以上の悪意あるアーティファクトが特定されています。
🏢影響範囲
VS Codeを利用し、Open VSXリポジトリから拡張機能をインストールしている開発者およびソフトウェアエンジニア
✅該当時の対応
信頼できないリポジトリからの拡張機能インストールを禁止し、インストール済みの拡張機能に不審な挙動がないか確認すること。また、公式のマーケットプレイスのみを利用するようポリシーを徹底してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】VS Code 偽拡張機能による GlassWorm v2 マルウェア感染への対応について
お疲れさまです。VS Codeの拡張機能リポジトリ(Open VSX)における脅威情報に関する共有です。
■ 概要
正当な拡張機能を模倣した73個の偽拡張機能が配布されており、GlassWorm v2という情報窃取型マルウェアを感染させることが判明しました。一部のパッケージは初期状態では無害に振る舞い、後のアップデートで悪意のあるコードを有効化する手法を用いています。
■ 影響範囲
- Open VSXリポジトリを利用してVS Code拡張機能を導入している環境
- 特に、特定された悪意ある拡張機能(outsidestormcommand.monochromator-theme等)を導入した端末
■ 対応手順
1. 開発環境におけるインストール済み拡張機能の一覧を確認し、不審なパブリッシャーや偽装された拡張機能がないか点検してください。
2. Open VSX等のサードパーティリポジトリではなく、公式のVisual Studio Marketplaceのみを利用するよう制限を検討してください。
3. 感染が疑われる端末がある場合は、速やかにネットワークから切り離し、EDRログの確認およびフルスキャンを実施してください。
■ 参考情報
- Socket社によるGlassWorm v2追跡レポート
対応優先度: 高
対応期限: 本日中
お疲れさまです。VS Codeの拡張機能リポジトリ(Open VSX)における脅威情報に関する共有です。
■ 概要
正当な拡張機能を模倣した73個の偽拡張機能が配布されており、GlassWorm v2という情報窃取型マルウェアを感染させることが判明しました。一部のパッケージは初期状態では無害に振る舞い、後のアップデートで悪意のあるコードを有効化する手法を用いています。
■ 影響範囲
- Open VSXリポジトリを利用してVS Code拡張機能を導入している環境
- 特に、特定された悪意ある拡張機能(outsidestormcommand.monochromator-theme等)を導入した端末
■ 対応手順
1. 開発環境におけるインストール済み拡張機能の一覧を確認し、不審なパブリッシャーや偽装された拡張機能がないか点検してください。
2. Open VSX等のサードパーティリポジトリではなく、公式のVisual Studio Marketplaceのみを利用するよう制限を検討してください。
3. 感染が疑われる端末がある場合は、速やかにネットワークから切り離し、EDRログの確認およびフルスキャンを実施してください。
■ 参考情報
- Socket社によるGlassWorm v2追跡レポート
対応優先度: 高
対応期限: 本日中
Subject: [Alert] GlassWorm v2 Malware Distribution via Fake VS Code Extensions
Dear IT/Security Team,
We are sharing critical intelligence regarding a malware campaign targeting VS Code users.
■ Overview
Researchers have identified 73 fake VS Code extensions on the Open VSX repository delivering GlassWorm v2, an information-stealing malware. The attackers use a "sleeper" strategy where extensions appear harmless initially and deliver malicious payloads through subsequent updates.
■ Scope
- Environments utilizing the Open VSX repository for extension installation.
- Systems that have installed the identified malicious extensions (e.g., outsidestormcommand.monochromator-theme, etc.).
■ Mitigation Steps
1. Audit installed VS Code extensions across development environments for any unauthorized or suspicious packages.
2. Enforce a policy to use only the official Visual Studio Marketplace and restrict the use of third-party repositories like Open VSX.
3. For suspected infected hosts, isolate the machine immediately and perform a full forensic analysis and malware scan.
■ Reference
- Socket security research on GlassWorm v2
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical intelligence regarding a malware campaign targeting VS Code users.
■ Overview
Researchers have identified 73 fake VS Code extensions on the Open VSX repository delivering GlassWorm v2, an information-stealing malware. The attackers use a "sleeper" strategy where extensions appear harmless initially and deliver malicious payloads through subsequent updates.
■ Scope
- Environments utilizing the Open VSX repository for extension installation.
- Systems that have installed the identified malicious extensions (e.g., outsidestormcommand.monochromator-theme, etc.).
■ Mitigation Steps
1. Audit installed VS Code extensions across development environments for any unauthorized or suspicious packages.
2. Enforce a policy to use only the official Visual Studio Marketplace and restrict the use of third-party repositories like Open VSX.
3. For suspected infected hosts, isolate the machine immediately and perform a full forensic analysis and malware scan.
■ Reference
- Socket security research on GlassWorm v2
Priority: High
Deadline: Immediate