VSCodeの一部拡張機能にファイルを暗号化して身代金を要求する悪意のある機能が仕込まれていたことが明らかに

コードエディターのVisual Studio Code(VSCode)には、拡張機能を利用して開発をより便利にすることが可能です。そんなVSCode向け拡張機能のウェブストア「Visual Studio Code Marketplace」において、ランサムウェアを配布する拡張機能が公開されていたことが報告されました。

VSCode extensions found downloading early-stage ransomware
https://www.bleepingcomputer.com/news/security/vscode-extensions-found-downloading-early-stage-ransomware/

Visual Studio Code Marketplaceに登録されていたランサムウェアを配布する拡張機能は「ahban.cychelloworld」「ahban.shiba」の2つ。海外メディアのBleeping Computerによると、「ahban.cychelloworld」は2024年10月27日、「ahban.shiba」は2025年2月17日にVisual Studio Code Marketplaceにアップロードされたとのこと。

これらの拡張機能には、PowerShellスクリプトを通じて別のスクリプトをAmazon AWSでホストされているリモートサーバー上からダウンロードして実行する機能が含まれています。もしもスクリプトが実行されると、ファイルの暗号化が行われ、さらに「あなたのファイルは暗号化されました。回復してほしければShibaWalletに1ShibaCoinを支払いなさい」との要求も表示されます。

なお、このランサムウェアは「C:\users\%username%\Desktop\testShiba」フォルダ内のファイルのみを暗号化することから、Bleeping Computerは「明らかに開発中またはテスト中のランサムウェアです」と指摘しています。

これらの拡張機能を発見したセキュリティ企業のReversingLabsはMicrosoftに対して報告。これを受けMicrosoftはこれらの拡張機能を削除しました。

一方でExtensionTotalのセキュリティ研究者であるイタリー・クルク氏は「ahban.cychelloworldはアップロード当初、ランサムウェアを含まなかったものの、2023年11月24日に公開されたバージョン0.0.2においてランサムウェアコードが追加されました。2024年11月25日に我々はahban.cychelloworldについてMicrosoftに報告したものの、応答はありませんでした」と批判しています。

Bleeping Computerによると、「ahban.cychelloworld」「ahban.shiba」の削除されるまでにダウンロードされた回数はそれぞれ8回・7回で、クルク氏は「問題のあるこれらの拡張機能のダウンロード数が少なかったため、Microsoftが我々の報告を優先しなかった可能性があります」と指摘したほか、Bleeping Computerは「約4カ月にわたり悪意のある拡張機能が放置されていたという事実は、Microsoftのレビュープロセスに重大な欠点があることを示しています」と語っています。