1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた

VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた

セキュリティニュース

投稿日時: 更新日時:

VSCodeで約900万回ダウンロードされていた拡張機能に悪意のあるコードが含まれていた

2025年2月26日、Microsoftは「Material Theme – Free」および「Material Theme Icons – Free」というVisual Studio Code(VSCode)の人気拡張機能をマーケットプレイスから削除しました。両拡張機能は合計約900万回ダウンロードされており、開発者向けに広く使用されていましたが、悪意のあるコードを含んでいる可能性が指摘されました。

2025年3月17日追記:難読化されていましたがセキュリティに関する問題はないという事で復活しました。

削除された拡張機能について

「Material Theme – Free」と「Material Theme Icons – Free」はVSCodeのカラースキーマやファイルアイコンを変更する拡張機能です。

Material Theme – Freeはダークモードやライトモードなどの複数のカラーテーマを提供していました。

Material Theme Icons – Freeは、GoogleのMaterial Designに基づいた統一感のあるアイコンセットを使用できます。

なお、この両拡張機能は合計約900万回ダウンロードされていました。

さらにこれらの拡張機能の開発者である Mattia Astorino (別名 equinusocio) は、VSCode マーケットプレイスに複数の拡張機能を公開しており、インストール数は合計 1,300 万回を超えています。

削除の経緯

削除の発端となったのは、サイバーセキュリティ研究者のAmit Assaraf氏とItay Kruk氏による調査です。両氏はVSCodeの拡張機能をスキャンし、「Material Theme」関連の拡張機能に不審なコードが含まれている」とMicrosoftに報告しました。

Microsoftの対応は迅速で、以下のアクションを実施しました。

  1. 該当の拡張機能をVSCodeマーケットプレイスから削除
  2. 拡張機能の開発者(Mattia Astorino / equinusocio)をマーケットプレイスからBAN
  3. 影響を受けた拡張機能をインストールしているVSCode環境から強制的に削除
  4. 「著作権やライセンス問題ではなく、悪意のあるコードの疑いによるもの」と明言

Microsoftの公式声明では、「拡張機能を徹底的に調査し、悪意のある意図があると判断したため削除した」と説明しています。

サプライチェーン攻撃か開発者アカウントの侵害が原因か

BleepingComputerの報道ではAmit Assaraf氏は、悪意のあるコードは拡張機能のアップデートで導入されたと考えていると述べ、

依存関係を介したサプライチェーン攻撃か、開発者のアカウントが侵害されたことを示しているとされています。

サプライチェーン攻撃か開発者アカウントの侵害が原因か

サプライチェーン攻撃か開発者アカウントの侵害が原因か

画像:BleepingComputer

 

本来不要なコードが含まれていた

またBleepingComputerの調査ではこのテーマには「release-notes.js」ファイル内に難読化されたJavaScriptの実行コードが含まれていることが発覚しました。

本来不要なコードが含まれていた

本来不要なコードが含まれていた

 

「コードを部分的に難読化解除すると、ユーザー名とパスワードへの参照が多数見つかりました。ただし、ファイルはまだ高度に難読化されていたため、BleepingComputer はそれらがどのような方法で参照されているかを判別できませんでした。」としています。

参照

VSCode extensions with 9 million installs pulled over security risks

VSCodeの有名プラグインやテーマのなりすまし

サイバー攻撃者は、Visual Studio Codeの有名なプラグインやテーマへ「なりすます」事によって悪意のあるコードをインストールさせようとします。

実際にイスラエルの研究者グループが実験で Visual Studio Codeの拡張機能をインストールできるVisual Studio Marketplaceで人気のエディターテーマ「Dracula(ドラキュラ)」をコピーした、「なりすまし」テーマを作成し、数百万回ダウンロードされ、有名企業や大手セキュリティ企業でもダウンロードされている事が発表されました。

システムエンジニアを狙うハッカー

今回のVSCode以外にもサイバー攻撃者は、システムエンジニアを狙って様々なサイバー攻撃を行います。

例えば、Macユーザーを狙う偽のHomebrewのフィッシングサイトをGoogle広告で宣伝しマルウェアを拡散するキャンペーンが確認されています。

このキャンペーンはGoogle広告でHomebrewのダウンロードサイトを宣伝し、フィッシングサイトへ遷移させるものですが

グーグル広告上で表示されるURLはHomebrewと全く同じURLの為見分けがつかず、フィッシングサイトもドッペルゲンガードメインを利用している為

直ぐにはフィッシングサイトであることが判断できません。

また、AI開発のプラットフォームであるHugging Faceではバックドア付きの機械学習モデルが確認されました。

ペイロードをダウンロードしてしまうと侵入されると、重要な内部システムへのアクセスが許可され大規模なデータ侵害や企業スパイ行為への道が開かれる可能性があり個人ユーザーだけでなく、場合によっては世界中の組織全体に影響を及ぼし、その一方で被害者は侵害された状態にまったく気づかないままになります。

 

関連記事

Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 VSCodeで約900万回ダウンロードされていた拡張機能の削除は誤検知VSCodeで約900万回ダウンロードされていた拡張機能へのマルウェア 混入疑惑は誤検知 VSCodeで数百万回ダウンロードされた悪意のある拡張機能が確認される 脅威アクター Menelik Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性 クラウドストライクはデルタ航空がIT障害の為の無償支援を拒否したと主張クラウドストライクはデルタ航空がIT障害の為の無償支援を拒否したと主張 サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散サイバー攻撃者が偽のDeepSeek ダウンロードサイトを利用しマルウェアを拡散 ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫ユーチューバーへ偽の著作権侵害の警告を行い、マルウェアの拡散を脅迫 欧州企業へHubSpotを悪用したフィッシングキャンペーンに関する注意喚起 フランス大手ISP「Free」へサイバー攻撃、1910万人の個人情報漏洩の可能性フランス大手ISP「Free」へサイバー攻撃、1910万人の個人情報漏洩の可能性