• はてなブックマーク
  • テクノロジー
  • そこまでやる? 170万DLの人気「Visual Studio Code」拡張機能に巧緻なマルウェア/「Ethereum」のスマートコントラクト言語「Solidity」の開発が楽になるとの触れ込み【やじうまの杜】
  • Twitterでシェア
  • Facebookでシェア

そこまでやる? 170万DLの人気「Visual Studio Code」拡張機能に巧緻なマルウェア/「Ethereum」のスマートコントラクト言語「Solidity」の開発が楽になるとの触れ込み【やじうまの杜】

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
243users がブックマーク コメント 30

    記事へのコメント30

    • 注目コメント
    • 新着コメント
    maid_h
    ワンチャンそれなりの価格が付いている暗号通貨をゲットできるならやれることは何でもやってくるぞ。

    その他
    wordi
    危なそうなエディタは語弊がある、外部ツールをスクリプトから呼び出す仕組みがあれば実行可能なのでそれだと昨今のエディタがほぼ当てはまっちゃう

    その他
    chuukai
    VSCodeじゃなくてEdgeの話だけど、特定の1サイトを閲覧した時のみ活動するマルウェアが疑われる拡張機能を見つけた時には検証作業が面倒で通報せずに放置してしまった。

    その他
    Windfola
    全くの門外漢的にはその170万DLの妥当性というか、ツール等での水増しを疑われない程度にはその「Solidity」って人気すごいのかなあというのが気になる。

    その他
    strawberryhunter
    VSCodeにはWebブラウザのアドオンのような権限管理は無いからな。危なっかしい。

    その他
    miau
    Solidity の拡張機能入れてたので確認してみたけど、問題の拡張機能は 9/30 に公開されたも&その後マケプレで非公開設定されているとのことで、この 1 週間くらいでインストールした人以外は大丈夫そう?

    その他
    everybodyelse
    すごいな。ファイルレスマルウェアとかあるんか。こんなのむしろどうやって見つけたんだ。

    その他
    twmw
    ブラウザ拡張もそうだけど「暗証番号知られても良い」ぐらい信頼してる場合のみインストールしないとダメ🙅「みんなインストールしてるから」とか1番ダメ👎

    その他
    tekitou-manga
    これ、そこまでやる価値があるからやってんだろうな、怖い怖い < "投票、クラウドファンディング、ブラインドオークション、マルチ署名ウォレットなどの設計に利用できる"

    その他
    aike
    数億円のお金が動く分野では1億円かけてマルウェア開発しても元がとれる問題。金融や行政システムはなんとか対策できても、開発者のツールは完全な対策が難しい。

    その他
    diveintounlimit
    カモが数人引っかかったらもとが取れちゃうんだろうなぁ。

    その他
    pwatermark
    vscodeに拡張入れるってコレくらいのリスクは当然なので、そう思ってなかった人は改めましょう

    その他
    m50747
    WEB3系の開発言語だけど仮想通貨後進国の日本では被害は極少数じゃないかな。Chromeのストアもそうだけど審査されている訳じゃないからマジ自己責任だね。企業なら注意しないと。

    その他
    Balmaufula
    170万も人口いるの!?

    その他
    raitu
    "難読化された「extension.js」がロシアのサーバーから「1.cmb」という名前の小さなファイル(5MBの)をこっそりダウンロードして実行"

    その他
    kuippa
    ちゃんとコードを追わないとわからないやつだ。よく気がついたな。閉じ込め環境で使ってるのに外部からファイルを引っ張ってるのを監視してるストリクトなユーザが居たんだろうな。

    その他
    htnmiki
    公式を名乗りながら公式からのリンクが無いものをホイホイ入れてしまうものなのか

    その他
    nemoba
    そこまでやるというか、暗号資産開発してる奴は暗号資産持ってるやろう。というド直球な奴かと

    その他
    yoshikie
    「そこまでやる?」というあおりはちょっとよくわからない。難読化もサンドボックス回避も巧妙なマルウェアなら普通にやるだろ。

    その他
    wordi
    wordi 危なそうなエディタは語弊がある、外部ツールをスクリプトから呼び出す仕組みがあれば実行可能なのでそれだと昨今のエディタがほぼ当てはまっちゃう

    2024/10/04 リンク

    その他
    unmarshal
    パッケージにしても拡張にしても、利用するメリットとリスクに真剣に向き合わないとね。今までもそうだったけど、「検索上位だし便利そうだから入れとく」が危険になった

    その他
    aike
    aike 数億円のお金が動く分野では1億円かけてマルウェア開発しても元がとれる問題。金融や行政システムはなんとか対策できても、開発者のツールは完全な対策が難しい。

    2024/10/04 リンク

    その他
    urtz
    “拡張機能の開発元はイーサリアム財団(Ethereum Foundation)を名乗っています” 偽って170万DL?それとも混入?

    その他
    miau
    miau Solidity の拡張機能入れてたので確認してみたけど、問題の拡張機能は 9/30 に公開されたも&その後マケプレで非公開設定されているとのことで、この 1 週間くらいでインストールした人以外は大丈夫そう?

    2024/10/04 リンク

    その他
    vndn
    しかもちゃんと開発に役立つんでしょ? よくやるなあ

    その他
    Windfola
    Windfola 全くの門外漢的にはその170万DLの妥当性というか、ツール等での水増しを疑われない程度にはその「Solidity」って人気すごいのかなあというのが気になる。

    2024/10/04 リンク

    その他
    auto_chan
    オソロシァ『「extension.js」がロシアのサーバーから(略)ダウンロードして実行』この挙動を分かる人が見たら分かって警告できるように、拡張機能経由の外部通信は許可制にするかなんか手段を講じてほしい。

    その他
    kazuya030
    オープンソースは無罪の証明にはならないけど、プラグインのソースは公開して欲しいよね / 公開されてるソースと同一のものがインストールされるかのチェックも面倒

    その他
    chuukai
    chuukai VSCodeじゃなくてEdgeの話だけど、特定の1サイトを閲覧した時のみ活動するマルウェアが疑われる拡張機能を見つけた時には検証作業が面倒で通報せずに放置してしまった。

    2024/10/03 リンク

    その他
    sirobu
    仕事上開発で使うんだけどプラグインの安全性とかどうやって担保すればいいんだろうなぁ

    その他
    dec123456789
    一度見つかったことだし似たようなのが出てきたら次からはWindowsセキュリティが検知してくれるんじゃない?そこまで甘くない?

    その他
    everybodyelse
    everybodyelse すごいな。ファイルレスマルウェアとかあるんか。こんなのむしろどうやって見つけたんだ。

    2024/10/03 リンク

    その他
    birisuken8574
    Googleの社員が盗み見してた事件もあったぐらいだからもう何も信用できないな。

    その他
    maid_h
    maid_h ワンチャンそれなりの価格が付いている暗号通貨をゲットできるならやれることは何でもやってくるぞ。

    2024/10/03 リンク

    その他
    tsutsuji360
    拡張機能って気軽に入れちゃうからなぁ

    その他
    strawberryhunter
    strawberryhunter VSCodeにはWebブラウザのアドオンのような権限管理は無いからな。危なっかしい。

    2024/10/03 リンク

    その他
    twmw
    twmw ブラウザ拡張もそうだけど「暗証番号知られても良い」ぐらい信頼してる場合のみインストールしないとダメ🙅「みんなインストールしてるから」とか1番ダメ👎

    2024/10/03 リンク

    その他
    quintet245
    >>「1.cmb」という名前<< cmb? コンバインの拡張子かな? V!V!V!

    その他
    tekitou-manga
    tekitou-manga これ、そこまでやる価値があるからやってんだろうな、怖い怖い < "投票、クラウドファンディング、ブラインドオークション、マルチ署名ウォレットなどの設計に利用できる"

    2024/10/03 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    そこまでやる? 170万DLの人気「Visual Studio Code」拡張機能に巧緻なマルウェア/「Ethereum」のスマートコントラクト言語「Solidity」の開発が楽になるとの触れ込み【やじうまの杜】

    ブックマークしたユーザー

    • mieki2562025/03/02 mieki256
    • techtech05212024/12/28 techtech0521
    • akitakakun2024/10/11 akitakakun
    • nakakzs2024/10/11 nakakzs
    • wktk_msum2024/10/06 wktk_msum
    • unijam2024/10/06 unijam
    • wushi2024/10/06 wushi
    • and_hyphen2024/10/06 and_hyphen
    • rikuo2024/10/05 rikuo
    • radiocat2024/10/05 radiocat
    • shiozaki56212024/10/05 shiozaki5621
    • locke-0092024/10/04 locke-009
    • diveintounlimit2024/10/04 diveintounlimit
    • fumikony2024/10/04 fumikony
    • pwatermark2024/10/04 pwatermark
    • m507472024/10/04 m50747
    • Balmaufula2024/10/04 Balmaufula
    • John_Kawanishi2024/10/04 John_Kawanishi
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.