GitHub、VS Code 拡張機能による 3,800 リポジトリの侵害を確認──環境変数窃取の被害
開発者のローカル環境を起点としたサプライチェーン攻撃により、マーケットプレイス経由で配布された悪意ある拡張機能が機密情報を外部へ送信した。
リリース: 2026-05-21 · 読了 3 分何が起きた
悪意のある VS Code 拡張機能を通じて、世界中で約 3,800 の GitHub リポジトリが不正アクセスの被害に遭った。
攻撃対象は主に .env ファイルやリポジトリ内のシークレット情報で、拡張機能の権限を利用してサイレントに外部サーバーへ送信されていた。
GitHub は該当する拡張機能をマーケットプレイスから削除し、影響を受けた全ユーザーへトークンの無効化とパスワードリセットを通知した。
なぜ重要
VS Code 拡張機能の「自動更新」が攻撃経路となったため、一度安全を確認したツールでも後発のアップデートでマルウェア化するリスクが顕在化した。
開発者のローカルマシンが「信頼されたエンドポイント」としてリポジトリへの書き込み権限を持つため、境界防御をバイパスして内部資産が狙われる。
👁️ 開発者
開発者は VS Code の「Workspace Trust」機能を有効化し、信頼できないリポジトリでの拡張機能実行を制限するとともに、インストール済み拡張機能の作者と権限を再点検すべき。
🇯🇵 日本
国内の受託開発会社や金融系システムを扱う IT ベンダーは、個人の VS Code 拡張機能利用を「シャドー IT」と定義し、組織レベルでの導入制限やセキュリティスキャンの導入を急ぐ必要がある。