GlassWorm v2マルウェア

サイバーセキュリティ研究者らは、Open VSXリポジトリでホストされている数十個のMicrosoft Visual Studio Code（VS Code）拡張機能を標的とした大規模な悪意のあるキャンペーンを発見した。GlassWormと名付けられたこの攻撃は、開発者から機密情報を盗み出し、開発環境を侵害することを目的としている。

捜査官は、正規のツールを模倣した不審な拡張機能を73個発見した。そのうち6個は悪意のあるものであると確認されたが、残りはユーザーの信頼を得てからアップデートを通じて悪用されるように設計された、休眠状態の「スリーパー」パッケージとして機能しているようだ。

特定された拡張機能はすべて2026年4月上旬にアップロードされた。2025年12月21日以降、研究者らは320を超える悪意のあるアーティファクトをGlassWormの広範なインフラストラクチャに関連付けている。

悪意のある拡張機能が確認されました

以下のOpen VSX拡張機能は有害であることが確認されています。

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• クルンドーベン・アイアンプル・ファストハブ
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

クローンパッケージによるソーシャルエンジニアリング

多くの悪質な拡張機能は、タイポスクワッティングの手法を用いて、信頼できるパッケージを巧妙に模倣しています。例えば、攻撃者は、正規のパッケージである Emotionkyoseparate.turkish-language-pack に対して、CEINTL.vscode-language-pack-tr のような紛らわしい名前を使用しています。

信頼性を高めるため、これらの偽拡張機能はオリジナルのアイコンや説明文もコピーしていました。この「視覚的な信頼性」戦略は、パッケージを本物らしく安全に見せることで、攻撃者がインストール数を自然に増やすのに役立ちます。

攻撃者はより巧妙な攻撃手法へと移行している。

研究者らの報告によると、GlassWormの攻撃者は検出を回避するために手法を積極的に改良している。マルウェアを即座に展開するのではなく、現在は潜伏パッケージや隠れた推移的依存関係を利用して、後で起動するようにしているという。

この攻撃キャンペーンでは、Zigベースのドロッパーを使用して、GitHubでホストされている2つ目の悪意のあるVSIX拡張機能をインストールします。実行されると、ローダーは同じシステムにインストールされている複数の統合開発環境（IDE）にペイロードを拡散させることができます。

複数のIDEが危険にさらされている

このマルウェアは、--install-extension コマンドを通じて、以下の複数の開発者プラットフォームを識別し、感染させる能力を持っています。

• Microsoft VS Code
• カーソル
• ウィンドサーフィン
• VSCodium

データ窃盗と遠隔操作を目的とした最終ペイロード

初期感染経路に関わらず、最終的な目的は一貫している。このマルウェアは、ロシア国内のシステムを回避し、機密情報を収集し、リモートアクセス型トロイの木馬（RAT）を展開し、不正なChromiumベースのブラウザ拡張機能を密かにインストールするように設計されている。

そのブラウザ拡張機能は、認証情報、ブックマーク、その他の保存データを傍受する可能性があります。一部の亜種では、配信メカニズムが難読化されたJavaScriptの中に隠されており、拡張機能はローダーとしてのみ機能し、実際のペイロードは有効化後にダウンロードされて実行されます。