Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
snickerjp
August 02, 2024
Technology
0
270
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
24
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
14
生成AI-NotebookLLMPlusの活用
snickerjp
0
98
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
28
AI-衝撃のロボティクス
snickerjp
0
26
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
74
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
280
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
870
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
280
Other Decks in Technology
See All in Technology
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから〜あれから半年〜
yo41sawada
0
200
ZOZOマッチのアーキテクチャと技術構成
zozotech
PRO
3
1.3k
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
yud0uhu
0
210
Function Body Macros で、SwiftUI の View に Accessibility Identifier を自動付与する/Function Body Macros: Autogenerate accessibility identifiers for SwiftUI Views
miichan
2
170
Kubernetes における cgroup v2 でのOut-Of-Memory 問題の解決
pfn
PRO
0
460
なぜテストマネージャの視点が 必要なのか? 〜 一歩先へ進むために 〜
moritamasami
0
110
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
290
生成AI時代のデータ基盤設計〜ペースレイヤリングで実現する高速開発と持続性〜 / Levtech Meetup_Session_2
sansan_randd
1
140
なぜスクラムはこうなったのか?歴史が教えてくれたこと/Shall we explore the roots of Scrum
sanogemaru
3
920
エニグモ_会社紹介資料(エンジニア職種向け).pdf
enigmo_hr
0
2.2k
Flutterでキャッチしないエラーはどこに行く
taiju59
0
220
DDD集約とサービスコンテキスト境界との関係性
pandayumi
2
260
Featured
See All Featured
Docker and Python
trallard
45
3.5k
Done Done
chrislema
185
16k
Bash Introduction
62gerente
615
210k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Raft: Consensus for Rubyists
vanstee
140
7.1k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
358
30k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
186
54k
How STYLIGHT went responsive
nonsquared
100
5.8k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
61k
Speed Design
sergeychernyshev
32
1.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
910
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
yo41sawada
zozotech
yud0uhu
miichan
pfn
moritamasami
aoto
sansan_randd
sanogemaru
enigmo_hr
taiju59
pandayumi
trallard
chrislema
62gerente
afnizarnur
vanstee
bermonpainter
sonatard
soudai
nonsquared
lemiorhan
sergeychernyshev
irinanazarova
