人気のVSCode拡張機能、セキュリティリスクの恐れめぐり取り下げられる

佐々山 Tacos

2025.02.27

900万インストール誇る人気VSCode拡張機能2件、セキュリティリスクの恐れめぐり取り下げられる

BleepingComputer – February 26, 2025

Visual Studio Code（VS Code）向けの人気拡張機能「Material Theme – Free」および「Material Theme Icons – Free」に悪意あるコードが含まれている恐れがあるとして、マイクロソフトは両拡張機能をVisual Studio Marketplaceから削除。ユーザーには、これらの拡張機能が自動的に無効化されたことを知らせるアラート通知が送られているという。

問題となった拡張機能はいずれも非常に人気が高く、その合計ダウンロード回数は900万回近い。発行者であるMattia Astorino氏（equinusocio）はこのほかにも複数の拡張機能をVSCodeマーケットプレイス上で提供しているが、マイクロソフトは現在までに、同氏のアカウントを停止させる処置を講じている。

この疑惑を最初に発見したのは、VSCode向け有害拡張機能のスキャンに関する専門知識を持つサイバーセキュリティ研究者、Amit Assaraf氏とItay Kruk氏。両氏は26日に公開されたレポート記事の中で、Material Theme内に不審なコードがあるのを発見してマイクロソフトへ報告した旨を記している。両研究者がスキャンを実施したところ、以下を含む結果が表示されたという。Assaraf氏はBleepingComputer紙に対し、有害なコードは拡張機能へのアップデートとともに紛れ込んだとの考えを伝え、依存関係を通じたサプライチェーン攻撃か、開発者Astorino氏のアカウントが侵害されたことが原因であろうと仄めかしている。

Malicious Activity Detected（拡張機能によって悪意ある活動が実施されていることが検出された）
Theme Running Code（ユーザーのマシン上でコードを実行するテーマタイプの拡張機能として、フラグが立てられた。本来テーマは静的なJSONファイルであるはずで、いかなるコードも実行しないはずだとされる）
Unverified Publisher（拡張機能の発行者が、自身が掲載したドメインの所有者情報の認証を済ませていないことを知らせる結果）
Obfuscated code（難読化されたコードを含む拡張機能として、フラグが立てられた。難読化の手法は、悪意を隠したり、コードの分析を難しくしたりする目的で使われている恐れがあるとされる）

BleepingComputerは実際に、当該拡張機能の「release-notes.js」というファイルには難読化されたJavaScriptが含まれていることを確認。部分的に難読化を解除したところ、多数のユーザー名やパスワードへの言及が見受けられたとしている。しかし難読化の度合いが高く、なぜ、どのようにこうした言及がなされているのかは判断できなかったという。

あるマイクロソフト従業員は、Hacker News（YCombinator運営のソーシャルニュースサイト）への投稿に、「マイクロソフトは両拡張機能をVS Codeマーケットプレイスから削除し、開発者をアカウント停止処分にした」と記載。同社の研究者によって、拡張機能に有害な意図が潜んでいるという主張の裏付けが取られ、追加で不審なコードが発見されたとも述べた。

一方で開発者Astorino氏も反応を示し、害があるものはSanity.ioの古い依存関係だけだとして、この問題が当該依存関係によって生じたものであるとの考えを提示。同氏は2016年からこの依存関係を使用しており、これまでのチェックでは毎回問題なしとの判定だったが、「今は侵害されているようだ」と述べた。加えて、「しかしマイクロソフトの誰からも、それ（当該依存関係）を削除しろとの連絡はなかった。彼らはただすべて（問題の拡張機能）を取り下げて数百万人のユーザーに支障をきたし、vscode内でループを発生させただけだ」としてマイクロソフトを非難している。同氏はその後、「丸ごと書き直した拡張機能」として新たに依存関係のない「Fanny Themes」という拡張機能をVSCodeマーケットプレイスに公開したが、マイクロソフトはこれを削除している。

マイクロソフトは当該拡張機能に関するさらなる詳細を今後公開する予定だと述べているが、状況がはっきりし、本当に拡張機能が悪意あるものなのかが判明するまでは、すべてのプロジェクトから以下を削除することが推奨されている。