Visual Studio Codeの公式マーケットプレイスに掲載された9種の拡張機能が、XMRigを使ってMoneroやEthereumを密かに採掘するマルウェアを含んでいたことが判明した。拡張機能の総インストール数は30万件以上に達し、その多くが正規のツールを装いユーザーの信頼を得ていた点が特徴的である。PowerShellスクリプトを用いた自動感染から権限昇格、セキュリティ機能の回避に至るまで、攻撃手法は高度で巧妙なものとなっており、VSCode利用者は特に注意を要する。

PowerShell経由で巧妙に展開されるXMRig感染の仕組み

悪意のあるVSCode拡張機能は、インストールと同時にPowerShellを介して外部の不正サーバーに接続し、感染スクリプトを取得する手法を採っていた。このスクリプトはasdf11[.]xyzから取得され、正規の機能と同時に本物の拡張機能も導入されるため、利用者は不審に気づきにくい構成である。感染後は「OnedriveStartup」を装ったスケジュールタスクが自動生成され、再起動後も永続的にマルウェアが動作する仕組みが整えられる。

さらに、Windows UpdateやUpdate Medicといったシステム更新関連のサービスを停止し、セキュリティ対策をすり抜けるためにマルウェアの保存ディレクトリをWindows Defenderの除外リストに追加するなど、検知回避策も念入りに組み込まれていた。これにより、従来のアンチウイルスソフトでは検出されにくい状態となっていた点は深刻である。ユーザーが見落としがちなこうした自動設定の改変こそが、今回のマルウェアキャンペーンの厄介さを物語っている。

安易な拡張機能導入が招くリスクと警戒すべき兆候

今回のマルウェアは、特定の開発者名「Mark H」や「VSCode Developer」を名乗る複数の拡張機能から感染が始まっていた。中には「Discord Rich Presence for VS Code」「Golang Compiler」「ChatGPT Agent for VSCode」など、馴染みのある機能名で装われていたものも含まれており、名称や説明文の巧妙さも信頼を得る材料として機能していた。拡張機能のインストール数が多いこと自体が“安全”を意味しないという点は、今回の事例で改めて浮き彫りとなった。

また、記事執筆時点で問題の拡張機能がVSCode Marketplace上で依然として公開状態にあることも見過ごせない。これは、マルウェアの駆除や報告体制の遅れが開発者環境に及ぼす影響の大きさを示している。利用者としては、インストール直後に不審なスクリプトの実行やレジストリの変化、Windows Updateの停止といった兆候に敏感になることが求められる。拡張機能に過度な信頼を置かず、必要最低限の導入に留めることが、リスク回避の第一歩となる。

Source:BleepingComputer