約2時間前、Open VSX上で、3月に文書化を開始した脅威アクターによって、非表示文字を使用して侵害された別の3つの拡張機能が検出されました。先週、彼らがGitHubリポジトリの侵害も開始していたことを確認しました。本日、正規のOpen VSX拡張機能に対する新たな攻撃の波を観測しています。
執筆時点で特定された3つは以下の通りです。
- adhamu/history-in-sublime-merge@1.3.4 (4,000ダウンロード)
- yasuyuky/transient-emacs@0.23.1 (2,400ダウンロード)
- ai-driven-dev/ai-driven-dev@0.4.11 (3,300ダウンロード)
現時点では、Open VSXに今回の発見を通知し、メンテナーにも連絡を試みています。
Open VSX 10月27日更新
今回の攻撃の波は、10月27日にOpen VSX(Eclipse Foundation)が公開したセキュリティアップデートの後で発生しました。そのアップデートでは、発生した攻撃を認め、導入を計画している防御策を概説しています。
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
当時、彼らはインシデントが完全に収束したと考えていました。しかし、残念ながら今日の出来事は、これがまだ終息の見えない進行中の状況であることを示唆しています。
この攻撃の新たな波が見られる中、Open VSXが計画している対策を高く評価します。特に、公開時の拡張機能の自動スキャンは重要であり、これはAikidoでも行っていることと同様です。ただし、公開前の拡張機能をスキャンすることはできません。正しく実装されれば、これはエコシステムにおける多くの攻撃から保護するでしょう。Eclipse Foundationが示しているこのイニシアチブを称賛します。
終わりの見えない状況
この特定の攻撃のように、目に見えないものから身を守ることは困難です。しかし、私たちは3月からこの脅威アクターを追跡しており、広範な情報を提供してきました。これまでの公開情報や技術情報は引き続き関連性があり、状況が進展するにつれて、さらに多くの情報を投稿していきます。
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
