約2時間前、3月から追跡している脅威アクターが非表示文字を用いて侵害したOpen VSXの拡張機能をさらに3件検出しました。先週、同アクターがGitHubリポジトリへの侵害も開始した事実を確認しています。本日、正規のOpen VSX拡張機能に対する新たな攻撃の波が観測されています。
執筆時点で特定した3つは次の通りです:
- adhamu/history-in-sublime-merge@1.3.4(4kダウンロード)
- yasuyuky/transient-emacs@0.23.1(2.4k downloads)
- ai-driven-dev/ai-driven-dev@0.4.11(3.3k ダウンロード)
現時点で、この発見についてOpen VSXに通知済みであり、メンテナへの連絡も試みています。
Open VSX 10月27日アップデート
この波は、Open VSX(Eclipse Foundation)が10月27日に公開したセキュリティ更新に続くものです。同更新では発生した攻撃を認め、導入を計画している防御策の概要を説明しています:
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025
当時、彼らはこの事件が完全に収束したと信じていた。しかし、今日の出来事は、残念ながら、これがまだ終わりの見えない継続的な状況であることを示唆している。
この攻撃の新たな波が確認される中、Open VSXが計画する対応策を高く評価します。特に公開時の拡張機能自動スキャンは重要であり、これは当社Aikido実施している手法です。ただし弊社では公開前のスキャンは不可能です。適切に実装されれば、エコシステム内の多くの攻撃から保護できるでしょう。Eclipse Foundationが示すこの取り組みを称賛します。
続く物語
目に見えないものに対する防御は困難であり、今回の攻撃もまさにその典型です。しかし当初から、私たちは3月以来この脅威アクターを追跡し、広範な調査を実施してきました。これまでの公開資料や技術情報は現在も有効であり、状況が変化した場合には追加情報を継続的に提供します。
https://www.aikido.dev/blog/youre-invited-delivering-malware-via-google-calendar-invites-and-puas
https://x.com/AikidoSecurity/status/1979207669044122111
今すぐソフトウェアを保護しましょう
.avif)
