$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
VS Code マルウェア注意喚起
Search
snickerjp
August 02, 2024
Technology
0
300
VS Code マルウェア注意喚起
7/30のVSCode Meetupで、注意喚起を受け
社内で展開した際に作った資料
snickerjp
August 02, 2024
Tweet
Share
More Decks by snickerjp
See All by snickerjp
生成AI-区分け
snickerjp
0
30
生成AI-2025年1月-2月リリースまとめ
snickerjp
0
20
生成AI-NotebookLLMPlusの活用
snickerjp
0
120
生成AI-開発フローに対応する生成AIツール(GitHub Copilot Agent-mode)
snickerjp
0
40
AI-衝撃のロボティクス
snickerjp
0
32
GWに最適?VS Code Day Skills Challenge の ご紹介
snickerjp
0
79
Redash から Autonomous Databaseに接続! できるようにしてみました
snickerjp
1
320
実はとっても便利! VisualStudio Code の Remote SSH機能
snickerjp
0
1k
今日から使える! VisualStudio Code の プロファイル機能
snickerjp
0
300
Other Decks in Technology
See All in Technology
AWSの新機能をフル活用した「re:Inventエージェント」開発秘話
minorun365
2
390
MySQLとPostgreSQLのコレーション / Collation of MySQL and PostgreSQL
tmtms
1
1.1k
SREには開発組織全体で向き合う
koh_naga
0
410
AlmaLinux + KVM + Cockpit で始めるお手軽仮想化基盤 ~ 開発環境などでの利用を想定して ~
koedoyoshida
0
150
【開発を止めるな】機能追加と並行して進めるアーキテクチャ改善/Keep Shipping: Architecture Improvements Without Pausing Dev
bitkey
PRO
1
110
フィッシュボウルのやり方 / How to do a fishbowl
pauli
2
360
Fashion×AI「似合う」を届けるためのWEARのAI戦略
zozotech
PRO
2
1.1k
『君の名は』と聞く君の名は。 / Your name, you who asks for mine.
nttcom
1
100
Kiro を用いたペアプロのススメ
taikis
4
1.6k
Agent Skillsがハーネスの垣根を超える日
gotalab555
5
3.6k
Amazon Bedrock Knowledge Bases × メタデータ活用で実現する検証可能な RAG 設計
tomoaki25
6
2.1k
100以上の新規コネクタ提供を可能にしたアーキテクチャ
ooyukioo
0
230
Featured
See All Featured
Claude Code どこまでも/ Claude Code Everywhere
nwiizo
61
47k
Stop Working from a Prison Cell
hatefulcrawdad
273
21k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
130
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
15
Side Projects
sachag
455
43k
The untapped power of vector embeddings
frankvandijk
1
1.5k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
710
Believing is Seeing
oripsolob
0
15
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.8k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
72
Bash Introduction
62gerente
615
210k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
0
70
Transcript
VS Code 拡張機能 マルウェア注意喚起 VS Code & GitHub Copilotお悩み相談会 2024年7⽉31⽇
2 4万5000回 アイスブレイク 何の数字?
3 4万5000回 アイスブレイク 何の数字? マルウェア
ことの始まりは、前日のVSCode Meetupでの注意喚起 4 VS Code 拡張機能 マルウェア注意喚起 出典: VS Code
Meetup #30 - Visual Studio Codeの教 科書/出版記念!! - YouTube https://www.youtube.com/watch?v=MiTqD08 OQ0w&t=4131s
5 VS Code 拡張機能 マルウェア注意喚起 • とあるセキュリティ研究者が、Visual Studio Code拡張機能のエコシステムに マルウェアが入り込む脆弱性があると指摘
◦ エコシステム・・・拡張機能のチェック、公開、認証の部分 • 試しに、人気テーマである「Dracula Official」に模した「Darcula Official」として 公開したところ、1日待たずして「100回」のダウンロードを獲得 ◦ 無害な拡張機能ではあるが、インストール状況を外部に送信していた ◦ 数日後には ▪ 「時価総額4830億ドルの大企業のWindowsマシン」 ▪ 「時価総額数十億ドル規模の有名企業のマシン」 ▪ 「世界最大級のセキュリティ企業のマシン」 ▪ 「裁判所のネットワークに接続するマシン」などにもインストールされた • インストール後に改変も可能だということ ◦ つまり、最初は無害な拡張機能として出して、後から悪意あるコードを埋め込むことも可能 ◦ ほかにも、メンテナンスされていない拡張機能をのっとって悪意あるコードを埋め込むなど
6 もはや、⼈の⼿では防 御しようがない VS Code 拡張機能 マルウェア注意喚起
7 対応策 出典: ExtensionTotal | Analyze suspicious IDE extensions https://www.extensiontotal.com/
今回の発端となった セキュリティ研究者が作った拡張 機能と、マルウェア脅威診断デー タベース 100%信頼できるわけではありま せんが、 それなりに信頼ができそう。
• Check Point、悪意あるコードを含んだVSCode拡張機能の発見を報 告 すでに削除済みだが配布開始から1年以上経過:PII窃取やバック ドアを狙うマルウェアも検出 - @IT ◦ https://atmarkit.itmedia.co.jp/ait/articles/2306/05/news028.html •
VSCodeの偽拡張機能を作ったらダウンロードされまくり&悪意ある コードを簡単に仕込めるVSCode拡張機能システムの欠陥も明らかに なったという報告 - GIGAZINE ◦ https://gigazine.net/news/20240611-visual-studio-code-extension-risk/ • ExtensionTotal | Analyze suspicious IDE extensions ◦ https://www.extensiontotal.com/ • ExtensionTotal - Visual Studio Marketplace ◦ https://marketplace.visualstudio.com/items?itemName=extensiontotal.extensiont otal-vscode 参考URL 8
snickerjp
minorun365
tmtms
.JPG){kind=avatar}
koh_naga
koedoyoshida
bitkey
pauli
zozotech
nttcom
taikis
gotalab555
tomoaki25
ooyukioo
nwiizo
hatefulcrawdad
frankvandijk
greggifford
sachag
soysaucechin
oripsolob
garrettdimon
techseoconnect
62gerente
katarinadahlin
