Mediumは2月26日(米国時間)、「A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions|by Amit Assaraf|ExtensionTotal|Feb, 2025|Medium」において、Microsoft Visual Studio Codeの人気拡張機能からマルウェアを発見したと報じた。

マルウェアは2つの拡張機能から発見され、これらの合計ダウンロード数は900万回以上と見られる。これら拡張機能は報告後、Microsoftにより削除された。

  • A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions|by Amit Assaraf|ExtensionTotal|Feb、2025|Medium

    A Wolf in Dark Mode: The Malicious VS Code Theme That Fooled Millions|by Amit Assaraf|ExtensionTotal|Feb, 2025|Medium

悪意のある拡張機能

発見された悪意のある拡張機能は次のとおり。

  • Material Theme — Free
  • Material Theme Icons — Free

いずれも開発者はMattia Astorino氏(別名: equinusocio)とされる。同氏は上記以外にも複数の拡張機能を公開しており、合計ダウンロード数は1,300万回を超える。

詳細は調査中

Bleeping Computerはマルウェアを発見したセキュリティ研究者に連絡を取り、追加の情報を公開している(参考:「VSCode extensions with 9 million installs pulled over security risks」)。

その報告によると、研究者は悪意のあるコードが拡張機能のアップデート後に導入された可能性を指摘し、依存関係を介したサプライチェーン攻撃または開発者のアカウント侵害が原因との見解を示したとされる。

Bleeping Computerは拡張機能を調査し、悪意のあるコードを特定してその一部を公開した。

  • 難読化された悪意のあるコード - 引用:Bleeping Computer

    難読化された悪意のあるコード 引用:Bleeping Computer

この悪意のあるコードは認証情報の窃取を試みると推測されているが、詳細はまだ明らかになっていない。Microsoftも分析を試みており、詳細が判明次第「GitHub - microsoft/vsmarketplace: Customer feedback and issue tracker repository for Visual Studio Marketplace」にて公開予定とされる。

影響と対策

Microsoftは報告を受け、これら拡張機能を削除した。また、状況を鑑み、同開発者によるすべての拡張機能も削除した。Bleeping Computerによると開発者は削除後、「Fanny Themes」と名付けた拡張機能を新たに公開したが、これもMicrosoftにより削除されたという。

現時点ではマルウェアの詳細は明らかになっておらず、影響範囲も特定されていない。そのため、次の拡張機能は速やかに削除することが推奨されている。

  • equinusocio.moxer-theme
  • equinusocio.vsc-material-theme
  • equinusocio.vsc-material-theme-icons
  • equinusocio.vsc-community-material-theme
  • equinusocio.moxer-icons

開発者はBleeping Computerの問い合わせに対し、sanity.ioの依存関係が原因だと説明し、サプライチェーン攻撃の被害によるものだと主張した。原因は外部にあり、事前に報告してもらえれば30秒で修正できたとして、Microsoftの対応に否定的な見解を述べている。