概要
OpenVSXで配布されたAqua Trivy拡張機能の特定バージョンに、ローカルのAIツールを悪用して機密情報を収集・送信させる「自然言語プロンプト」を用いた新手の攻撃コードが混入した。
詳細内容
Socketのセキュリティ研究チームは、OpenVSXレジストリで公開されたAqua Trivy VS Code拡張機能(バージョン1.8.12および1.8.13)に、悪意のあるコードが注入されていることを発見しました。このコードは、開発者のローカル環境にインストールされているClaude、Gemini、GitHub Copilot CLIなどのAIエージェントを検出し、ユーザーの承認をスキップする「YOLOモード」で起動します。
注入されたコードの特徴は以下の通りです:
- **自然言語による攻撃**: 従来の悪意あるスクリプトではなく、AIに対する「フォレンジック調査員としてシステムを調査せよ」という指示(プロンプト)を通じて攻撃を実行します。
- **機密情報の探索**: 認証トークン、クラウド認証情報、財務データ、ソースコードなどをシステム全体から検索・収集させます。
- **外部送信の試み**: バージョン1.8.13では、収集した情報を`REPORT.MD`としてまとめ、被害者のGitHubアカウントを使用して新しいリポジトリを作成し、そこへアップロードするよう指示していました。
幸い、攻撃に使用されたプロンプトの不備や、対象AIツールがインストールされていない環境が多かったことなどから、大規模な被害は確認されていません。しかし、この事例はAIアシスタントの普及を突いた「AIサプライチェーン攻撃」という新たな脅威が実用化されていることを示しています。