VSCode公式マーケットプレースに悪意のある拡張機能が混入 審査プロセスに課題：セキュリティニュースアラート

ReversingLabsはVSCode公式Marketplaceで公開されていた2つの拡張機能に開発中のランサムウェアが含まれていたと報告した。Microsoftの審査プロセスの甘さが問題視されている。

[後藤大地，有限会社オングス]

ReversingLabsのXアカウント（出典：XのWebサイト）

　ReversingLabsは2025年3月19日（現地時間）、「Visual Studio Code」（VSCode）向けに2つの悪意ある拡張機能が配布されていることを発見したと発表した。開発段階のランサムウェアを配布する拡張機能とされ、Visual Studio Code Marketplaceに公開されていたことが確認されている。

　これらはそれぞれ数回ダウンロードされた後、報告を受けて削除されている。拡張機能はPowerShellスクリプトを通じてリモートC2（Command and Control）サーバから別のスクリプトをダウンロードして実行し、「testShiba」フォルダ内のファイルを暗号化する。

安全審査をすり抜けて長期間公開、ランサムウェア機能はおそらく「鋭意開発中」

　発見された悪意のある拡張機能は「ahban.shiba」と「ahban.cychelloworld」という名前で配布されていたという。それぞれ7回および8回ダウンロードされた後にReversingLabsの報告を受け、VSCode Marketplaceから削除された。これらの拡張機能は2024年10月27日および2025年2月17日にそれぞれMarketplaceにアップロードされ、安全審査をすり抜けたまま長期間公開されていた。

　Visual Studio Code Marketplaceは、開発者向けに拡張機能を提供する公式オンラインプラットフォームだ。開発者はエディタ「VSCode」の機能を拡張するためのさまざまなプラグインを検索して自由にインストールできる。Microsoftが運営しており、世界中のVSCode利用者の間で広く利用されている。

　ReversingLabsの調査によると、これらの拡張機能にはPowerShellコマンドが含まれており、「Amazon Web Services」（AWS）にホストされたC2サーバから別のPowerShellスクリプトをダウンロードして実行する。このスクリプトはランサムウェアとして機能し、ユーザーのデスクトップにある「testShiba」フォルダ内のファイルを暗号化した後、「Your files have been encrypted. Pay 1 ShibaCoin to ShibaWallet to recover them.」という警告メッセージを表示する。

　ただし、公開されたバージョンでは通常のランサムウェアのように身代金要求メモや追加の指示はない。このことから、開発段階のマルウェアであることが推察される。

　今回の事例はVSCode Marketplaceの審査プロセスに大きな課題があることを浮き彫りにした。特に拡張機能がリモートのPowerShellスクリプトをダウンロードして実行するという危険な挙動を示していたにもかかわらず、検出されなかったことは深刻な問題だ。

　Microsoftが今後どのように審査プロセスを改善し、同様の脅威の再発を防ぐのかに注目が集まっている。