Visual Studio Code拡張から感染が起きていますか?
- コンステラ
- 1月21日
- 読了時間: 1分
A. 悪質な拡張機能を通じた感染が確認されています。
Visual Studio Codeは拡張性の高さから広く利用され、拡張機能が多数公開されています。
その中に、「Evelyn」と呼ばれる悪質な拡張モジュールが含まれている例が確認されました。Evelynは、開発者の認証情報や暗号通貨関連データを盗み出す目的で設計されたインフォスティーラー型マルウェアです。
該当する拡張機能を適用すると、内部に含まれる隠しPowerShellコマンドが実行されます。これにより第2段階のペイロードが取得され、本体となるスティーラーマルウェアが展開されます。
展開されたマルウェアは、正規のWindowsプロセスのメモリ内で動作を開始します。その後、各種情報を収集し、ZIP形式で外部のFTPサーバへ転送します。
開発者環境が侵害されることで、より広いシステムへの足がかりになる可能性も示されています。