Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
snickerjp
August 02, 2024
Technology
0
260
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
21
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
14
生成AI-NotebookLLMPlusの活用
snickerjp
0
58
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
23
AI-衝撃のロボティクス
snickerjp
0
25
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
74
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
260
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
830
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
270
Other Decks in Technology
See All in Technology
Microsoft Learn MCP/Fabric データエージェント/Fabric MCP/Copilot Studio-簡単・便利なAIエージェント作ってみた -"Building Simple and Powerful AI Agents with Microsoft Learn MCP, Fabric Data Agent, Fabric MCP, and Copilot Studio"-
reireireijinjin6
1
220
株式会社島津製作所_研究開発(集団協業と知的生産)の現場を支える、OSS知識基盤システムの導入
akahane92
1
1.3k
私とAWSとの関わりの歩み~意志あるところに道は開けるかも?~
nagisa53
1
150
Bet "Bet AI" - Accelerating Our AI Journey #BetAIDay
layerx
PRO
4
1.3k
[TechNight #91] Oracle Database 最新パフォーマンス分析手法
oracle4engineer
PRO
4
360
フィードバック駆動での AI の育て方
yoshizaki
1
110
マルチモーダル基盤モデルに基づく動画と音の解析技術
lycorptech_jp
PRO
4
430
AIに全任せしないコーディングとマネジメント思考
kikuchikakeru
0
390
【CEDEC2025】『ウマ娘 プリティーダービー』における映像制作のさらなる高品質化へ!~ 豊富な素材出力と制作フローの改善を実現するツールについて~
cygames
PRO
0
190
ecspressoの設計思想に至る道 / sekkeinight2025
fujiwara3
12
2.3k
反脆弱性(アンチフラジャイル)とデータ基盤構築
cuebic9bic
2
150
ファインディにおける Dataform ブランチ戦略
hiracky16
0
250
Featured
See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
730
Why Our Code Smells
bkeepers
PRO
337
57k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Art, The Web, and Tiny UX
lynnandtonic
301
21k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Building Adaptive Systems
keathley
43
2.7k
Site-Speed That Sticks
csswizardry
10
740
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
reireireijinjin6
akahane92
nagisa53
layerx
oracle4engineer
yoshizaki
lycorptech_jp
kikuchikakeru
cygames
fujiwara3
cuebic9bic
hiracky16
kevinliebholz
tammyeverts
bkeepers
eileencodes
samlambert
lynnandtonic
keathley
csswizardry
wjessup
zakiyama
aleyda
