内蔵ランサムウェア機能を持つ悪意あるVS Code拡張機能「susvsex」が発見される

公開日: November 7, 2025 at 06:11 AM

News Article

内蔵ランサムウェア機能を持つ悪意あるVS Code拡張機能「susvsex」が発見される

コンテンツ

サイバーセキュリティ研究者は、基本的なランサムウェア機能を備えた悪意あるVisual Studio Code（VS Code）拡張機能「susvsex」を発見しました。この拡張機能は、人工知能の支援を受けて作成されたと考えられており、しばしば「バイブコード」マルウェアと呼ばれています。Secure Annexの研究者ジョン・タックナーによって検出されました。興味深いことに、この拡張機能は悪意を隠そうとはしていません。2025年11月5日に「suspublisher18」というユーザーによってアップロードされ、説明は「ただのテスト」と非常に簡素で、明らかに偽のメールアドレス「donotsupport@example.com」が使われていました。この拡張機能の機能は、初回起動時にあらかじめ定義されたディレクトリ（WindowsのC:\Users\Public\testingまたはmacOSの/tmp/testing）からファイルを自動的に圧縮、アップロード、暗号化することです。\n\nマイクロソフトは迅速に対応し、11月6日までに公式のVS Codeマーケットプレイスからこの拡張機能を削除しました。拡張機能の主要な悪意あるルーチン「zipUploadAndEncrypt」は、インストールやVS Codeの起動などのトリガーイベントで自動的に起動します。この関数は対象フォルダをZIPアーカイブに圧縮し、リモートサーバーに送信し、その後そのディレクトリ内のファイルを暗号化して復号キーなしではアクセスできなくします。幸いにも、対象ディレクトリはデフォルトでテスト用のステージングフォルダに設定されており、現在の被害は限定的ですが、将来のアップデートや秘密のコマンド＆コントロール（C2）チャネル経由のコマンドで簡単に変更可能です。\n\nC2について言えば、このマルウェアは巧妙にGitHubリポジトリをコマンドセンターとして使用しています。プライベートGitHubリポジトリの「index.html」ファイルを定期的にポーリングして新しいコマンドを読み取り、実行結果を「requirements.txt」ファイルに書き戻します。これには拡張機能に埋め込まれたハードコードされたGitHubアクセストークンが使われています。関連するGitHubアカウント「aykhanmv」は現在もアクティブで、開発者はアゼルバイジャンのバクー在住と主張しています。詳細なコメントや実行手順を記したREADMEファイル、コード内に残されたプレースホルダ変数はAI支援による作成、すなわち「バイブコーディング」を強く示唆しています。誤って拡張機能のパッケージに復号ツール、サーバーコード、GitHubトークンなどの重要なコンポーネントが含まれており、他者がC2インフラを乗っ取る可能性もあります。\n\n関連して、Datadog Security Labsは17の悪意あるnpmパッケージを特定しました。これらは正規のソフトウェア開発キット（SDK）を装い、2025年10月21日から26日の間に「aartje」と「saliii229911」というアカウントによってアップロードされました。これらのパッケージは感染したシステムにVidar情報窃取マルウェアを密かにインストールします。Vidarがnpmレジストリを通じて配布されたのは今回が初めてです。アカウントはすぐに禁止されましたが、パッケージはすでに2,200回以上ダウンロードされており、多くは自動スクレイパーによるものと推測されます。\n\nこれらnpmパッケージの攻撃メカニズムは、「package.json」ファイルに定義されたpostinstallスクリプトに依存しています。これらのスクリプトは外部サーバーからZIPアーカイブをダウンロードし、その中のVidarマルウェアを実行します。バリアントによっては、JavaScriptを実行する前にPowerShellスクリプトを実行するものもあります。Datadogが分析したVidarサンプルは、TelegramとSteamのハードコードされたアカウントをデッドドロップポイントとして使用し、実際のコマンドサーバーを特定しています。研究者は、postinstallの実装の違いが行動シグネチャの検出回避に役立っていると推測しています。\n\nこれらの事件は、npm、PyPI、RubyGems、Open VSXなどのオープンソースエコシステムを狙ったサプライチェーン攻撃の増加に拍車をかけています。開発者は注意を払い、変更履歴を慎重に確認し、タイポスクワッティングや依存関係の混乱などの一般的な攻撃ベクトルを認識することが重要です。AI支援のマルウェア開発の増加と高度化するサプライチェーン攻撃は、ソフトウェア開発コミュニティ全体でのセキュリティ強化の緊急性を示しています。

キーインサイト

主要な事実は、2025年11月にアップロードされた悪意あるVS Code拡張機能「susvsex」の発見に集中しており、内蔵ランサムウェア機能とAI支援のコーディング特徴を持っています。

この拡張機能はGitHubをC2チャネルとして悪用し、作者はアゼルバイジャンのバクーに関連があると主張しています。

同時に、postinstallスクリプトを通じてVidar情報窃取マルウェアを配布する17のnpmパッケージも特定され、npmを介した新たな配布方法を示しています。

主な利害関係者はVS Codeやnpmパッケージに依存する開発者、サイバーセキュリティ企業、MicrosoftやGitHubなどのプラットフォーム提供者です。

二次的に影響を受けるのは、侵害された開発ツールにさらされるソフトウェアのエンドユーザーや企業です。

即時の影響はデータ流出、ランサムウェアによる暗号化、サプライチェーンの不安定化として現れ、市場からの迅速な削除を促しました。

過去の類似例としてはSolarWindsの侵害やevent-stream npmパッケージ事件があり、いずれも信頼されたソフトウェアソースのリスクを示しています。

これらの事例は信頼されたプラットフォームの悪用という点で共通しますが、規模や対応の洗練度に違いがあります。

将来を見据えると、AIの進化はマルウェア生成や防御の自動化を促進する一方で、脅威の増大に対しては厳格なコード審査や行動検知などの積極的な対策が必要です。

規制面では、拡張機能やパッケージの必須セキュリティ監査の実施、コードの出所と挙動の透明性向上、エコシステム関係者間の脅威情報共有の促進が推奨されます。

これらの措置は実現可能性と効果的なリスク軽減のバランスを取り、拡大するオープンソース開発環境の保護を目指します。

Loading...

内蔵ランサムウェア機能を持つ悪意あるVS Code拡張機能「susvsex」が発見される

コンテンツ

キーインサイト

編集者のおすすめ