← ブログに戻る
セキュリティブリーフィング4 min read2026-04-28

セキュリティブリーフィング 2026年4月28日:Robinhood フィッシングメール、PyPI 情報窃取、GlassWorm スリーパー拡張

今朝の教訓は単純です。信頼されたオンボーディング、信頼されたパッケージ管理、信頼された拡張マーケットプレイスが、そのまま攻撃の配送路になっています。


要点: 今すぐ重要なのは3点です。正規 Robinhood メール内の攻撃者コンテンツ、秘密情報を奪う偽のオープンソースリリース、そして後から起動するよう仕込まれた VS Code 拡張です。


1. Robinhood のオンボーディングフローがフィッシング経路に変えられた

攻撃者は Robinhood のアカウント作成フローを悪用し、noreply@robinhood.com から送られる正規のログイン警告メールに HTML を注入しました。メールは SPF と DKIM を通過し、本物に見えたまま被害者をフィッシングサイトへ誘導しました。結論は厳しいです。内容がサニタイズされていなければ、送信者の正当性だけでは守れません。


2. PyPI の elementary-data が通常のリリースフローを認証情報窃取に変えた

人気パッケージ elementary-data は GitHub Actions のスクリプトインジェクションで侵害され、ワークフロートークンが露出し、署名済みリリースが偽造されました。バージョン 0.23.3 は SSH 鍵、クラウド認証情報、CI secrets、ウォレットファイル、開発環境データを狙う情報窃取器を配布し、その影響はコンテナイメージにも及びました。


3. GlassWorm の 73 個の OpenVSX スリーパー拡張は、より静かなサプライチェーン攻撃を示す

Socket は GlassWorm に関連する 73 個の OpenVSX 拡張を発見し、そのうち 6 個はすでに有効化されていました。新しい手口は「待つこと」です。まず無害に見えるものを公開し、信頼を積み上げ、後日のアップデートでペイロードを届けます。同じエコシステム悪用ですが、より静かで、より厄介です。


セキュリティチームが今日やるべきこと

  1. 顧客や端末データを反映するすべてのメールテンプレートを再点検してください。
  2. 侵害された PyPI パッケージを探し、実行された環境では secrets ローテーションを強制してください。
  3. 次の更新波が来る前に、開発者フリートの VS Code / OpenVSX 拡張を棚卸ししてください。
  4. 信頼面を UX の細部として扱うのをやめてください。今やそこも攻撃面です。

情報源


結論: 今日のパターンは特殊なマルウェアではありません。普通の信頼が、そのまま運搬路に変えられているだけです。日常的に見える workflow、テンプレート、マーケットプレイスほど、攻撃者はすでに見ています。

攻撃者がすでに試している信頼経路を先に見つける

KENSAI は、そうした信頼経路が実際のインシデントになる前に、露出した workflow、危険な依存関係、開発者表面の死角を可視化します。

無料スキャンを開始 →

鋭くいてください。

🗡️ KENSAI Security Team