Check Point Software Technologiesは5月16日(米国時間)、「Malicious VSCode extensions with more than 45K downloads steal PII and enable backdoors - Check Point Blog」において、VSCodeのマーケットプレイスで悪意のある拡張機能が配布されているとして、注意を呼び掛けた。同社は個人情報を盗み出し、バックドアを有効にする悪質なVSCode拡張機能を発見したという。
VSCodeの拡張機能を検索およびインストールできるVSCode Extensions Marketplaceにおいて、不正な拡張機能が配布されていることがわかった。特定された不正な拡張機能は次のとおり。
- Prettiest java
- Theme Darcula dark
- Python-vscode
「Prettiest java」はJavaヘルパーとされ、人気のあるコードフォーマッタプロジェクト「Prettier-Java」を模倣したタイポスクワッティングと考えられている。個人識別情報(PII: Personally Identifiable Information)を窃取し、攻撃者に送信するコードが含まれていることが判明している。
「Theme Darcula dark」にも悪質なコードが含まれていることがわかった。単純なテーマ設定であるにも関わらず個人識別情報を窃取するコードが挿入されていることが確認されており、すでに総インストール数が4万5,000を超えていると報告されている。
「Python-vscode」と名付けらた拡張機能に説明はないが、難読化されたC#コードをインストーラマシンに注入するコードが含まれていることがわかった。C#コードは一般的なC#シェルインジェクタのコードパターンだったとされ、拡張機能の名前からPython開発者を標的としたものと判断されている。
発見されたこれらの拡張機能はMicrosoftに報告されており、通知後すぐに、VSCodeのマーケットプレイスチームによって削除されたと伝えている。