eSecurity Planetは1月24日(米国時間)「Cybercriminals Use VSCode Extensions as New Attack Vector|eSecurity Planet」において、Visual Studio Codeの拡張機能がサイバー攻撃者にとって魅力的な攻撃手段になりつつあると伝えた。
Visual Studio Codeは人気の高い統合開発環境であり、開発者の75%が使っていると推測されている。拡張機能のインストールはワンクリックで簡単であり、この仕組みがサイバー攻撃における新しいベクトルになりつつあると指摘されている。
Visual Studio Codeの拡張機能を悪用するサイバー攻撃は「タイポスクワッティング」といった古典的な手法で可能とされている。人気のある拡張機能のデータをそのままコピーし、名称やURLを一部だけ変更する。ユーザーが検索バーに誤った単語を入力した場合、この仕組まれた偽の拡張機能が候補に表示され、開発者はその拡張機能をインストールしてしまう。名称以外はオリジナルとほとんど同じデータを使っているため、真偽の判断は難しいとされている。
このサイバー攻撃の手法はPyPI (Python Package Index)やNPMなどほかのパッケージ管理システムにおいても使われている。eSecurity PlanetはVisual Studio Codeが開発者向けのツールとして支配的な位置づけにあることから、悪意ある拡張機能が増加していると指摘している。
Visual Studio Codeにおける悪意ある拡張機能の判断は難しいという説明も掲載されている。リスクを軽減する方法として最小特権の原則の適用やコンテナの活用が挙げられている。