Glasswormマルウェアの襲撃再び：悪性VS Codeパッケージ攻撃の第3波を研究者が発見

yab

2025.12.02

2025年12月2日：サイバーセキュリティ関連ニュース

Glasswormマルウェアの襲撃再び：悪性VS Codeパッケージ攻撃の第3波を研究者が発見

BleepingComputer – December 1, 2025

OpenVSXおよびMicrosoft Visual Studioマーケットプレイス上で、自己複製マルウェア「Glassworm」による攻撃キャンペーンの第3弾が観測されたという。両プラットフォーム上には、このサプライチェーン攻撃で使用するためのパッケージが新たに24件追加されたことがわかっている。

Glasswormについて詳しくはこちらの記事で：「自己拡散マルウェアGlassWormによる、OpenVSX・VS Code狙った新たなサプライチェーン侵害」

Glasswormは、OpenVSXやVisual Studioマーケットプレイス上の侵害された拡張機能を通じてシステムに感染したのち、認証情報の窃取および自己複製を行うワームタイプのマルウェア。2025年10月20日に初めて文書化され、一度は感染が抑えられたものの、11月初頭に第2波の発生が発覚し、11月30日にはSecure Annexの研究者John Tuckner氏によって第3の攻撃が報告されている。

Tuckner氏は、今回のキャンペーンに関するパッケージを24件発見。そのパッケージ名からは、Flutter、Vim、YAML、Tailwind、Svelte、React Native、Vueといった人気ツールや開発者向けフレームワークが幅広く狙われていることが示されているという。アクターは拡張機能内にパッケージングされたRustベースのインプラントを使用するようになるなど、Glasswormを技術面でも進化させていることも報告された。

当該パッケージの一覧は、Secure Annexのブログ記事「Glassworm’s resurgence」から確認できる。

ロシア系サイバー犯罪者が新型Androidマルウェア「Albiriox」を開発

SecurityWeek – December 1, 2025

ロシア語圏の脅威アクターらがサイバー犯罪フォーラムで新型Androidマルウェア「Albiriox」を開発・提供していると、Cleafyの研究者が報告した。

Albirioxはオンデバイス詐欺（ODF）を目的として設計されたバンキング型トロイの木馬で、攻撃者は侵害したモバイルデバイスを制御し、被害者の暗号通貨または銀行アプリから不正な取引を行うことが可能になる。現在も開発が続いているものの、感染したAndroidデバイスをリアルタイムで制御できるリモートアクセス機能は既に完全に動作する。また、オーバーレイ攻撃向けの機能も準備中とのこと。

Albirioxは9月に登場し、初期バージョンのユーザー募集を開始。10月以降はマルウェア・アズ・ア・サービス（MaaS）モデルで運営が行われており、同月21日から月額720ドル（約11万円）で販売されている。さらに、マルウェア検出を回避する目的で、暗号化サービス「GoldenCrypt」と統合するカスタムビルダーも提供している模様。

Albirioxの最初の攻撃キャンペーンの1つでは、オーストリアの地元小売店の偽アプリを宣伝することでユーザーにマルウェアをインストールさせようとしていた。その後、偽アプリは被害者を騙して権限昇格を行い、最終的にはAlbirioxマルウェアを配信するドロッパーとして機能する。Cleafyがマルウェアを分析した結果、銀行・暗号資産・フィンテック・ウォレット・取引・決済・投資・ゲームに関連する世界中のアプリ400件以上が標的となっていることが明らかになった。