Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
snickerjp
August 02, 2024
Technology
0
300
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
30
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
21
生成AI-NotebookLLMPlusの活用
snickerjp
0
120
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
44
AI-衝撃のロボティクス
snickerjp
0
32
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
79
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
320
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
1k
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
310
Other Decks in Technology
See All in Technology
TED_modeki_共創ラボ_20251203.pdf
iotcomjpadmin
0
190
コールドスタンバイ構成でCDは可能か
hiramax
0
130
ペアーズにおけるAIエージェント 基盤とText to SQLツールの紹介
hisamouna
2
2k
AI との良い付き合い方を僕らは誰も知らない
asei
1
320
AWS re:Inventre:cap ~AmazonNova 2 Omniのワークショップを体験してきた~
nrinetcom
PRO
0
120
「もしもデータ基盤開発で『強くてニューゲーム』ができたなら今の僕はどんなデータ基盤を作っただろう」
aeonpeople
0
270
モダンデータスタックの理想と現実の間で~1.3億人Vポイントデータ基盤の現在地とこれから~
taromatsui_cccmkhd
2
290
スクラムマスターが スクラムチームに入って取り組む5つのこと - スクラムガイドには書いてないけど入った当初から取り組んでおきたい大切なこと -
scrummasudar
0
420
Next.js 16の新機能 Cache Components について
sutetotanuki
0
210
会社紹介資料 / Sansan Company Profile
sansan33
PRO
11
390k
Knowledge Work の AI Backend
kworkdev
PRO
0
340
Oracle Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
3
240
Featured
See All Featured
Facilitating Awesome Meetings
lara
57
6.7k
The Cost Of JavaScript in 2023
addyosmani
55
9.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
180
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
110
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
210
So, you think you're a good person
axbom
PRO
0
1.9k
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
120
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
140
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
130
[SF Ruby Conf 2025] Rails X
palkan
0
660
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
iotcomjpadmin
hiramax
hisamouna
asei
nrinetcom
aeonpeople
taromatsui_cccmkhd
scrummasudar
sutetotanuki
sansan33
kworkdev
oracle4engineer
lara
addyosmani
morganepeng
baasie
uxyall
malarkey
portentint
axbom
dugsong
skoyamalab
tammyeverts
palkan
