$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
snickerjp
August 02, 2024
Technology
0
290
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
29
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
18
生成AI-NotebookLLMPlusの活用
snickerjp
0
120
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
37
AI-衝撃のロボティクス
snickerjp
0
31
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
77
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
310
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
990
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
300
Other Decks in Technology
See All in Technology
生成AI・AIエージェント時代、データサイエンティストは何をする人なのか?そして、今学生であるあなたは何を学ぶべきか?
kuri8ive
2
1.8k
私も懇親会は苦手でした ~苦手だからこそ懇親会を楽しむ方法~ / 20251127 Masaki Okuda
shift_evolve
PRO
4
550
Noを伝える技術2025: 爆速合意形成のためのNICOフレームワーク速習 #pmconf2025
aki_iinuma
2
1.1k
MCP・A2A概要 〜Google Cloudで構築するなら〜
shukob
0
160
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.3k
シンプルを極める。アンチパターンなDB設計の本質
facilo_inc
1
1k
How native lazy objects will change Doctrine and Symfony forever
beberlei
1
380
タグ付きユニオン型を便利に使うテクニックとその注意点
uhyo
2
640
Bill One 開発エンジニア 紹介資料
sansan33
PRO
4
16k
GitLab Duo Agent Platformで実現する“AI駆動・継続的サービス開発”と最新情報のアップデート
jeffi7
0
160
バグハンター視点によるサプライチェーンの脆弱性
scgajge12
2
470
プロダクトマネジメントの分業が生む「デリバリーの渋滞」を解消するTPMの越境
recruitengineers
PRO
3
430
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
45
8.3k
Code Reviewing Like a Champion
maltzj
527
40k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3k
Raft: Consensus for Rubyists
vanstee
140
7.2k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Designing Experiences People Love
moore
142
24k
Automating Front-end Workflow
addyosmani
1371
200k
Java REST API Framework Comparison - PWX 2021
mraible
34
9k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
51k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.1k
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
kuri8ive
shift_evolve
aki_iinuma
shukob
sansan33
facilo_inc
beberlei
uhyo
jeffi7
scgajge12
recruitengineers
aleyda
maltzj
danielanewman
vanstee
rocio
marcelosomers
moore
addyosmani
mraible
chrisshort
morganepeng
geoffreycrofte
