VS Code

• Visual Studio に Go コードを統合するための Weekend タスクを開始しました。
• IDE 環境内で異なる言語の開発体験を深める過程でいくつかの気づきを得ました。
• 既存のエコシステムとの相性の良さを考慮しつつ、新しい機能を組み上げました。

IDE やクロスコンパイルツールを開発する技術者が参考になる実装事例です。

• TeamPCP 攻撃団体が、Trivy 供給チェーン被害から NPM、Docker Hub、VS Code、PyPI などへ開拓を広げ、Lapsus$ と連携して資金化している可能性が高まる。
• Aqua Security の Trivy や Checkmarx の VS Code パッケージ、NPM エコシステムへの複数工程のマルウェア注入攻撃により、秘密情報の盗難や大規模なクラスタ破壊が進行する中、CI/CD 保護の重要性が再確認された。
• CanisterWorm や Iran 指向型「kamikaze」と呼ばれるワイパーのような高度な機能を含む最新マルウェアが、開発者のトークンやインフラを標的とした横断的な攻撃力を示唆する。

TeamPCP の攻撃が単なる供給チェーン被害にとどまらず、開発者トークンと CI/CD プライビレージを横断して大規模なインフラ破壊や秘密盗難を行っているため、セキュリティ業界全体に重大な警鐘を鳴らしている。