拡張機能が開発者のマシン上の全てにアクセス　GitHubを揺るがしたサプライチェーン攻撃

　開発者が日常的に使うツールが、最も危険な侵入口になった。GitHubの内部リポジトリが5月18日、不正アクセスを受け、2日後にハッカーグループ「TeamPCP」が、盗んだソースコードをサイバー犯罪フォーラムに売りに出した。侵入口となったのはVS Code拡張機能だ。開発者ツールを悪用した連鎖攻撃で、既存のセキュリティツールでは検知できない“ゼロCVEの死角”を突く――。新しい攻撃の形が、開発者エコシステムの信頼の根幹を揺さぶっている。

悪意あるコードを拡張機能として公開

　ソフトウェアサプライチェーンのリスク分析を専門とするPhoenix Securityの調査によると、攻撃はJavaScriptビルドツール「Nx」のGUI拡張機能「Nx Console」から悪意あるコードを送り込み、これに感染したGitHubの従業員デバイスを経由して内部リポジトリにアクセスしたという。

　5月21日に公開されたNxの報告によると、攻撃は5月11日に始まっていた。Nxのコントリビューターの1人が別のサプライチェーン攻撃で汚染されたパッケージ経由でマルウェアに感染し、GitHubのCLIトークンを盗まれた。

　攻撃者はそのトークンを使って、Nx Console（nrwl.angular-console）のバージョン18.95.0として悪意あるコードを公開した。これがGitHubの従業員デバイスに感染して不正アクセスが行われたとみられる。

　バージョン18.95.0の公開は5月18日12時30分（UTC）。VS Codeマーケットプレイスでは12時47分に削除されるまで17分間公開されたほか、Open VSXでも12時33分から13時09分まで36分間ダウンロード可能な状態が続いた。VS Codeマーケットプレイスへの実インストールは28件、Open VSXは41ダウンロードだった。Nxの内部分析ではアクティベーションが約6000件確認されており、Microsoftと照合を進めているという。

　Nx Consoleは220万件以上のインストール実績を持つ人気拡張機能だ。Aikido Securityの研究者Charlie Eriksen氏は、拡張機能への攻撃の危険性について、「VS Code拡張機能は、開発者のマシン上にある全て、すなわち認証情報、クラウドキー、SSHキーに完全なアクセス権を持っている」とHelp Net Securityに解説している。