Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
snickerjp
August 02, 2024
Technology
0
310
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
34
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
30
生成AI-NotebookLLMPlusの活用
snickerjp
0
130
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
51
AI-衝撃のロボティクス
snickerjp
0
36
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
82
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
330
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
1.1k
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
330
Other Decks in Technology
See All in Technology
コンテキスト・ハーネスエンジニアリングの現在
hirosatogamo
PRO
6
770
欠陥分析(ODC分析)における生成AIの活用プロセスと実践事例 / 20260320 Suguru Ishii & Naoki Yamakoshi & Mayu Yoshizawa
shift_evolve
PRO
0
380
スピンアウト講座02_ファイル管理
overflowinc
0
1.2k
Escape from Excel方眼紙 ~マークダウンで繋ぐ、人とAIの架け橋~ /nikkei-tech-talk44
nikkei_engineer_recruiting
0
200
【社内勉強会】新年度からコーディングエージェントを使いこなす - 構造と制約で引き出すClaude Codeの実践知
nwiizo
22
11k
20年以上続く PHP 大規模プロダクトを Kubernetes へ ── クラウド基盤刷新プロジェクトの4年間
oogfranz
PRO
0
170
「通るまでRe-run」から卒業!落ちないテストを書く勘所
asumikam
2
480
JEDAI認定プログラム JEDAI Order 2026 受賞者一覧 / JEDAI Order 2026 Winners
databricksjapan
0
290
Agent Skill 是什麼?對軟體產業帶來的變化
appleboy
0
220
既存アプリの延命も,最新技術での新規開発も:WebSphereの最新情報
ktgrryt
0
160
Bref でサービスを運用している話
sgash708
0
190
How to install a gem
indirect
0
1.1k
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
WCS-LA-2024
lcolladotor
0
490
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
160
Amusing Abliteration
ianozsvald
0
140
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
0
240
Testing 201, or: Great Expectations
jmmastey
46
8.1k
Rails Girls Zürich Keynote
gr2m
96
14k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
The Curse of the Amulet
leimatthew05
1
10k
Practical Orchestrator
shlominoach
191
11k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
52k
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
hirosatogamo
shift_evolve
overflowinc
nikkei_engineer_recruiting
nwiizo
oogfranz
asumikam
databricksjapan
appleboy
ktgrryt
sgash708
indirect
lemiorhan
lcolladotor
nikkihalliwell
ianozsvald
ks91
jmmastey
gr2m
rmw
leimatthew05
shlominoach
marktimemedia
madoxten
