チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「VSCodeの拡張機能を入れたら、開発環境ごと乗っ取られるって本当?」
「ダウンロード数が多い拡張なら安全だと思ってたのに、なぜ騙されるの?」
チップスボス、エンジニアのみんなが使ってるVSCodeの拡張機能まで信用できないんでしゅか?
ボス残念ながらだ。GlassWormは「スリーパー戦術」で信用を貯めてから牙を剥く。
厄介なのは、拡張のソースコード上は無害に見える点だな。
2026年4月26日、SocketがGlassWormに関連する73件の悪意あるOpen VSX拡張機能を発見しました。
VS Code、Cursor、Windsurf、VSCodiumを使う開発者が標的で、すでに6件は活性化してマルウェアを配信中です。
本記事ではスリーパー戦術の仕組み、検知を回避する3つの配信機構、そして開発組織が即時にとるべき対策を解説します。
VSIX拡張は開発者の権限で動くため、認証情報・ソースコード・本番アクセスまでが一気に危険に晒されます。
本稿で攻撃の仕組みを把握すれば、組織のIDE管理ポリシーを見直すきっかけになります。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
GlassWormは2026年3月にも72件の拡張で確認されたキャンペーンの後継です。
今回の73件は手口の洗練度が一段上がっています。
スリーパー拡張とは、武器化前にあらかじめ公開される攻撃者管理の偽装拡張です。
初期段階では悪意あるコードを含まないため、レビューサイトやセキュリティスキャナを通過します。
正規拡張のクローンとして、同じアイコン・説明文・ブランディングで別パブリッシャーから公開される点が特徴で、開発者が早足で選ぶと見分けがつきません。
引用元: Socket Blog
チップスクローンの拡張なんて、よほど注意しないと気づかないでしゅよ…!
ボスそう。だからこそ「組織として許可した拡張だけ使う」運用に切り替える必要がある。
GlassWormは「拡張本体は薄いローダー、本体は外部」という設計で、静的解析を無効化します。
Socketの分析によると、活性化した拡張は3種類の手法で本体ペイロードを呼び出します。
主な配信経路は以下のとおりです。
| 配信機構 | 仕組み |
|---|---|
| ネイティブバイナリ実行 | プラットフォーム別の.nodeバイナリが悪意あるVSIXを読み込み |
| 難読化JSローダー | 実行時にデコードして.vsixペイロードを取得 |
| 外部ペイロード取得 | GitHubホストのVSIXと暗号化されたフォールバックURLを使用 |
このように本体を外に置く設計のため、拡張のソースコードレビューだけでは見抜けません。
引用元: The Hacker News
「便利そうな拡張は気軽にインストール」の文化は、もはや組織にとって許容範囲外のリスクです。
運用を組み替えるための具体策は以下のとおりです。
extensions.allowListで組織承認の拡張のみインストール許可.nodeバイナリの不審な実行とGitHub外部ダウンロードを検知ルール化
チップスうちの開発チーム、誰がどの拡張入れてるか把握できてないでしゅ…
ボスそれは多くの組織が抱える盲点だ。
まずは棚卸し、次にホワイトリスト化。順番を間違えるな。
GlassWormの73件は、開発者向けマーケットプレイス全体への信頼が揺らぐ事案です。
「ダウンロード数が多い=安全」という直感は通用しなくなり、スリーパー戦術によって時間軸そのものが武器化されました。
開発者の端末は本番システムへの最短経路です。IDEまわりの拡張管理を、本番サーバーと同等の厳格さで運用する時期に来ています。
明日の朝一番で、自社のVSCode/Cursor導入拡張一覧を出力してみてください。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
