2026年1月30日、Open VSXレジストリで正規開発者のアカウントが侵害され、22,000回以上ダウンロードされた4つの拡張機能にGlassWormマルウェアが埋め込まれた。この事件は単発のインシデントではない。2025年10月の初出以降、不可視Unicode難読化、Solanaブロックチェーン上のC2インフラ、AI IDEフォークの「推奨拡張機能」ハイジャックと、攻撃は段階的にエスカレートしてきた。Eclipse Foundationが2026年2月に発表した事前検証義務化は、IDE拡張サプライチェーン全体のガバナンスを再構築する転換点となる。

GlassWormの技術的特徴──不可視コードとブロックチェーンC2

GlassWormは、VS Code拡張機能を標的とする初の自己増殖型ワームである。2025年10月17日にセキュリティ企業Koi Securityが最初の3つの感染拡張を発見し、その技術的な巧妙さが業界に衝撃を与えた。

最大の特徴は、Unicode変異セレクタ(Variation Selectors)およびPUA(Private Use Area)文字を悪用した不可視コード埋め込み技術である。攻撃者が注入した悪意あるJavaScriptは、テキストエディタ上では空行・空白にしか見えず、GitHubのdiff表示でも視認できない。しかしJavaScriptインタプリタはこれを正常に実行する。これにより、コードレビュー・静的解析・シンタックスハイライトのいずれも回避される。

C2(コマンド&コントロール)インフラにはSolanaブロックチェーンが使われる。マルウェアはハードコードされたウォレットアドレスからトランザクションのメモフィールドを読み取り、Base64エンコードされたC2リンクを取得する。ブロックチェーン上のトランザクションは不変であり、法的・技術的手段でも削除できないため、従来のドメインテイクダウンが通用しない。バックアップとしてGoogleカレンダーの隠しイベントも使用され、多層的な冗長構成を持つ。

2026年1月のアカウント侵害──正規開発者を踏み台にした信頼の悪用

2026年1月30日、正規の拡張機能開発者「oorzc」のOpen VSXパブリッシャーアカウントが侵害された。攻撃者はこのアカウントを通じて、以下4つの既存拡張機能に悪意あるアップデートを配信した。

  • FTP/SFTP/SSH Sync Tool(oorzc.ssh-tools v0.5.1)
  • I18n Tools(oorzc.i18n-tools-plus v1.6.8)
  • vscode mindmap(oorzc.mind-map v1.0.61)
  • scss to css(oorzc.scss-to-css-compile v1.3.4)

これらの拡張機能は長期間にわたり正規に運用されてきた実績があり、ユーザーは自動更新を通じて汚染バージョンを受け取った。Eclipse Foundationの調査によると、侵害はトークンの漏洩または不正なパブリッシングアクセスによるものと評価されている。

埋め込まれたペイロードはGlassWormローダーで、3段階のロード機構を持つ。第1段階のローダーがEtherHiding技法でC2エンドポイントを取得し、第2段階で「ZOMBI」と名付けられたメインモジュールが展開される。ZOMBIモジュールはNPM認証トークン、GitHub認証情報、Open VSXアクセストークン、Gitクレデンシャルを窃取し、さらにブラウザのログイン情報、macOSキーチェーン、49種以上の暗号通貨ウォレットのデータを収集する。窃取した開発者認証情報を使って追加のリポジトリや拡張機能に自己増殖する点が、従来のマルウェアとの決定的な違いである。

AI IDEフォークの「推奨拡張機能」ハイジャック

GlassWormの直接的な脅威と並行して、VS Codeフォーク型AI IDEに固有の構造的脆弱性も露呈した。2025年11月、Koi Securityの研究者がCursor、Windsurf(Codeium)、Google Antigravity、Traeに共通する「推奨拡張機能」攻撃ベクトルを発見している。

問題の構造はこうである。これらのAI IDEはVS Codeのコードベースをフォークする際、ハードコードされた「推奨拡張機能」リストを引き継ぐ。しかしライセンス上の制約からMicrosoftの公式マーケットプレイスは使用できず、代わりにOpen VSXレジストリを参照する。ここで決定的なギャップが生じる──公式マーケットプレイスに存在する拡張機能の名前空間が、Open VSXでは未登録のまま放置されていたのである。

攻撃者はこれらの未登録名前空間を先行取得し、悪意ある拡張機能をアップロードできる。開発者がIDEの推奨に従って拡張機能をインストールすると、正規品と信じて攻撃者のマルウェアを導入してしまう。Koi Securityはこの脆弱性を各ベンダーに報告し、自ら脆弱な名前空間を先行取得して無害なプレースホルダーを配置する防御措置を講じた。

各ベンダーの対応速度には大きな差が出た。Cursorは2025年12月1日に修正を完了し、Googleは12月26日に13の拡張機能推奨を削除して2026年1月1日に修正完了と報告した。一方、Windsurfは報告時点で応答がないとされている。

Eclipse Foundationの事前検証義務化──制度的対応の設計

一連のインシデントを受け、Eclipse Foundationは2026年2月、Open VSXレジストリに対する事前検証(Pre-Publish Security Verification)プログラムを発表した。セキュリティコンサルタント企業Yeethとの協力のもと、段階的に導入される。

2026年2月からはモニタリングフェーズとして、新規公開される拡張機能をブロックせずに検査し、システムの精度向上と偽陽性の削減を行う。2026年3月からはエンフォースメントフェーズに移行し、検査を通過しない拡張機能の公開を実際にブロックする。

検証の対象は、拡張機能名や名前空間のなりすまし検出、意図せず公開された認証情報やシークレットの検出、そして疑わしいアップロードの隔離レビューである。即座にリジェクトするのではなく、パブリッシャーに明確なフィードバックを提供する設計となっている。

ただし、この対策にも限界がある。不可視Unicodeによる難読化やブロックチェーンC2のような高度な技法を事前検証だけで検出するのは困難である。制度的対応と技術的対応の両輪が不可欠であり、拡張機能のランタイム権限モデルの見直しや、パブリッシャー認証の多要素化など、エコシステム全体の再設計が求められている。

IDE拡張サプライチェーンの構造的リスクと今後の展望

GlassWormが暴いたのは、IDE拡張エコシステムの「信頼モデル」の根本的な脆弱さである。VS Code拡張機能はインストール時にほぼ無制限のファイルシステムアクセスとネットワークアクセスを持ち、サンドボックスは事実上存在しない。この権限モデルの上に、自動更新・推奨拡張機能・フォーク間のレジストリ不整合が重なることで、単一のアカウント侵害が数万人規模の被害に直結する。

さらに、OX Securityの調査によれば、CursorとWindsurfには94件のN-dayのChromium脆弱性が存在し、180万人の開発者が影響を受ける可能性がある。AI IDEの爆発的な普及が、攻撃対象面を急速に拡大させている構図が浮かび上がる。

今後、IDE拡張のサプライチェーンセキュリティは以下の方向に進むと予測される。第一に、拡張機能のランタイムサンドボックス化(Webブラウザの拡張機能に倣った権限分離モデル)。第二に、パブリッシャーアカウントの多要素認証義務化とトークンローテーションの強制。第三に、SBOM(Software Bill of Materials)の拡張機能レベルでの適用。そして第四に、AI IDEベンダーによる独自のセキュリティレビュープロセスの構築である。開発者ツールが攻撃インフラに転用されるリスクは、AIコーディングの普及とともに増大し続けるだろう。

FAQ

GlassWormとは何か?

VS Code拡張機能を標的とする初の自己増殖型ワームである。不可視Unicode文字でコードを隠蔽し、SolanaブロックチェーンをC2インフラに利用する。窃取した開発者認証情報で追加の拡張機能に自動感染する点が特徴である。

Open VSXレジストリはなぜ狙われたのか?

Microsoft公式マーケットプレイスを利用できないVS Codeフォーク(Cursor、Windsurf等)がOpen VSXを参照するため、攻撃の影響範囲が広い。また、事前のセキュリティ検証が未整備だったことが侵害を容易にした。

AI IDEフォークの「推奨拡張機能」攻撃とは?

VS Codeからフォークした際にハードコードされた推奨リストが引き継がれるが、Open VSXで名前空間が未登録の場合、攻撃者が先行取得して悪意ある拡張機能を配置できる。IDEが「推奨」と表示するため、ユーザーは正規品と誤認してインストールしてしまう。

開発者はどのような対策を取るべきか?

拡張機能の自動更新を無効にし、アップデート前にCHANGELOGを確認する。パブリッシャーアカウントには多要素認証を設定し、トークンを定期的にローテーションする。開発環境のネットワーク通信を監視し、不審なブロックチェーンAPI呼び出しを検出することも有効である。

参考文献