VSCode 확장 위협: 데이터 도난, 은밀한 백도어 및 블록체인 기반 RAT

홈 » Python » VSCode 확장 위협: 데이터 도난, 은밀한 백도어 및 블록체인 기반 RAT

개발자들은 매일 사용하는 편집기 내에서 확장 프로그램으로 인한 위험에 점점 더 직면하고 있습니다. 비주얼 스튜디오 코드(VSCode) 최근 보안 경보의 중심에 있습니다. 조사 결과, 다수의 마켓플레이스 목록이 공격적인 데이터 수집, 신원 정보 도용, 심지어 소프트웨어 프로젝트에 사용되는 컴퓨터에 대한 은밀한 원격 접근과 관련이 있는 것으로 밝혀졌습니다.

상황을 더욱 심각하게 만드는 것은 최신 보고에 따르면 여러 패키지가 여전히 다운로드 가능한 상태라는 점입니다. 즉, 이 문제는 이론적인 문제가 아니라는 뜻입니다. 이 활동은 공식 마켓플레이스와 Open VSX에서 발생하며, IDE 확장 생태계 되었다 공급망 공격의 고가치 타깃.

연구자들이 VS Code 생태계에서 발견한 것

HelixGuard와 다른 보안 연구원들을 포함한 여러 팀이 Microsoft VSCode Marketplace와 Open VSX에서 최소 12건의 악성 업로드를 확인했습니다. 중요한 것은 그중 4건이 아직 살아 있다는 것입니다. Christine-devops1234.scraper, 코드아세.fyp-23-s2-08, 가이낙숀.cxcx123및 사힐92552.CBE-456.

이러한 패키지는 무해한 원격 측정을 훨씬 넘어섭니다. 분석가들은 기계 식별자, 프로젝트 이름 등이 도용되는 것을 목격했습니다. 전체 소스 파일편집기 내부의 검색 기록, AI 채팅 프롬프트, 선택된 코드 조각, 클립보드 내용, 심지어 일상 업무 중에 캡처한 스크린샷까지 포함됩니다.

자주 인용되는 데이터 포인트 중 하나는 더 광범위한 위험을 나타냅니다. 생태계에 대한 학문적 조사에 따르면 조사된 52,880개의 VSCode 확장 프로그램 중 약 5.6%가 다음과 같은 위험을 나타냅니다. 의심스러운 행동 패턴 — 그리고 잠재적으로 위험한 항목은 모두 합쳐서 다음을 차지합니다. 613 백만 설치.

실제로 탈출이 일어나는 방식

패키지마다 동작 방식은 다르지만, 목표는 일관적입니다. 사용자에게 알리지 않고 민감한 데이터를 유출하는 것입니다. 예를 들어 분석가들은 다음과 같이 말합니다. Christine-devops1234.scraper 전체 파일 내용 및 IDE 내 쿼리를 포함한 광범위한 사용자 및 프로젝트 세부 정보를 공격자 인프라로 전달합니다. 35.164.75.62:8080.

한편, 코드아세.fyp-23-s2-08 Ngrok을 통해 훔친 스니펫을 라우팅하고, 유출을 AI 스타일 댓글 생성 기능으로 위장합니다. 검사된 코드는 콘텐츠를 정규화(예: 공백 제거)하여 HTTPS POST 요청으로 전송하여 트래픽이 합법적인 보조 기능.

코드 도용 외에도 감시형 플러그인도 있습니다. BX-Dev.Blackstone-DLP 스크린샷을 캡처하고 클립보드를 모니터링하는 모습이 포착되었는데, 이는 조용히 정보를 빼낼 수 있는 조합입니다. 자격 증명, 토큰, 그리고 독점 논리의 민감한 부분.

연구자들은 또한 다음과 같은 확장 프로그램을 표시했습니다. VKTeam.ru 기업 환경을 선택적으로 타겟팅합니다. VK.com 도메인 멤버십을 확인하고 조건이 일치하면 사용자 이름, 호스트 이름, 시스템 세부 정보와 같은 Windows 도메인 데이터를 수집합니다. 환경 정찰 단계.

스파이 활동에서 완전한 기계 손상까지

몇몇 항목은 데이터 수집을 훨씬 넘어 명령 실행으로 이동합니다. 패키지 teste123444212.teste123444212 공격자가 제어하는 ​​AWS 리소스에 대한 지속적인 연결을 유지하여 효과적으로 채널을 제공한다고 합니다. 원격 명령 실행 개발자 호스트에서.

또 다른 예, ToToRoManComp.diff-tool-vsc, Base64로 인코딩된 Perl 역방향 셸을 배포하여 89.104.69.35 항구에 445연결되면 대화형 접근 권한을 넘겨줍니다. 이러한 종류의 페이로드는 적대적인 공격자에게 편집자 자신을 넘어 포괄적인 통제권을 부여합니다.

악의적인 활동이 관련되어 있습니다 Deriv-AI.deriv-ai "나이트포"라는 트로이 목마를 가져와 실행함으로써 더욱 확대되어 더 깊은 정찰과 지속 가능한 작업이 가능해졌습니다. 원격 액세스 손상된 시스템에서.

VSX 케이스 열기: SleepyDuck이 Solidity 도구 뒤에 숨어 있습니다.

커뮤니티 중심의 Open VSX 레지스트리에서 조사관들은 원격 액세스 트로이 목마를 추적했습니다. 슬리피덕 Solidity 확장 프로그램으로 위장 후안-비앙코.솔리디티-블랑. 그것은 그 이상을 그렸습니다 53,000 다운로드 플랫폼 경고와 함께 계속 표시되었습니다. 중요한 점은 제출 시에는 양성이었지만 이후 업데이트에서 악성 구성 요소가 추가되었다는 것입니다.

SleepyDuck의 뛰어난 비결은 회복력입니다. 이더 리움 스마트 계약 명령 및 제어(C2) 세부 정보를 저장하고 업데이트합니다. sleepyduckxyz의 기본 C2가 사라지면 맬웨어는 블록체인에 새로운 명령(새로운 서버 주소 및 수정된 폴링 간격 포함)을 쿼리할 수 있습니다.

활성화 경로는 개발자 워크플로에 맞게 조정됩니다. 이 확장 기능은 편집기 시작 시, Solidity 파일을 열 때 또는 Solidity 컴파일 명령이 호출될 때 실행됩니다. 호스트당 한 번만 실행되도록 잠금 파일을 생성하고 가짜(sham)를 호출합니다. 웹팩.init() 확장 스크립트에서 섞여서 악성 페이로드를 로드합니다.

초기화 시, 분석가들은 악성코드가 기본 시스템 식별자(호스트/사용자 이름, MAC 주소, 시간대)를 수집하고 명령 실행을 위한 샌드박스를 준비하는 것을 관찰했습니다. 악성코드는 빠른 이더리움 RPC 엔드포인트를 찾고, 현재 구성에 대한 스마트 계약을 읽고, 호스트 데이터를 게시하고 다음을 확인하는 폴링 루프에 진입합니다. 실행할 작업.

Solidity 개발자를 대상으로 한 별도의 사건

올해 초 연구원들은 또한 다음과 같은 브랜드의 독특한 가짜 패키지를 보고했습니다. "솔리디티 언어" Open VSX의 도우미. 그 도우미는 PowerShell 스크립트를 실행하고 원격 액세스 도구를 삭제하고 암호화폐 지갑 암호문구; 한 개발자는 공개적으로 대략적인 손실을 주장했습니다. US $ 500,000해당 목록은 삭제되기 전까지 수만 건의 다운로드를 기록했으며, 삭제된 직후 새로운 이름으로 다시 나타났다고 합니다.

스마트 계약 개발자를 반복적으로 공격하는 것은 우연이 아닙니다. 이러한 사용자는 종종 지갑 접근 권한을 보유하고 금융 인프라와 상호 작용하기 때문에 가치가 높은 대상 빠르게 수익을 창출하려는 공격자를 위한 것입니다.

더 큰 그림: 규모와 인센티브

숫자는 냉정한 그림을 그립니다. 연구에 따르면 약 5.6의 52,880 % 검토된 확장 프로그램에는 정책 위반이나 위험한 특성의 징후가 나타나며 이러한 항목에 대한 총 설치 수가 다음을 초과합니다. 613 만VSCode의 거대한 영향력과 AI 지원 툴링위협 행위자는 애드온 내부에 숨는 데 동기를 부여받습니다. 개발자들은 이미 신뢰합니다.

또 다른 요인은 권한입니다. 확장 프로그램은 편집기와 동일한 기능(파일 읽기, 프로세스 생성, 네트워크 호출)으로 작동하여 공격 반경을 확장합니다. 공격자는 코드 제안이나 주석 생성과 같은 기능 내에 유출을 숨김으로써 악성 트래픽 정상적인 개발 활동처럼 보입니다.

지금 팀이 해야 할 일

보안 책임자와 개별 개발자는 몇 가지 엄격한 단계를 거쳐 노출을 줄일 수 있습니다. 가시성과 강력한 기본 설정을 우선시하여 위험한 설치를 억제하고 생산성을 그대로 유지할 수 있습니다. 실용적인 조합 거버넌스 및 모니터링 가장 큰 차이를 만듭니다.

• 설치된 확장 프로그램을 일정에 따라 감사하고, 알려지지 않았거나 새로 생성되었거나 평판이 낮은 확장 프로그램을 제거합니다. 다음을 고려하세요. 허용 목록 승인된 플러그인의 경우.
• 개발자 엔드포인트에서 비정상적인 대상(예: 알려진 C2 IP, 예상치 못한 터널 등)에 대한 이탈을 모니터링합니다. 응그록).
• 가능하면 특히 비밀이나 관련된 내용을 리뷰 확장 소스로 사용하세요. 민감한 코드 경로; 꼭 사용해야 한다면 핀 버전을 사용하세요.
• 자동 업데이트에 주의하세요. 변경 로그와 게시자 변경 사항을 추적하여 놀라움을 피하세요. 공급망 피벗.
• EDR/AV, 로컬 방화벽 및 최소 권한을 사용하여 엔드포인트를 강화하고 빌드 비밀을 분리하여 사용합니다. 토큰 범위 자격 증명.
• 개발자에게 확장 위험, 게시자 검증 및 의심스러운 사항에 대한 신속한 보고/확대에 대한 교육을 제공합니다. 편집자 행동.

마켓플레이스 대응 및 지속적인 개선

Cursor 및 Windsurf와 같은 AI 지원 IDE에서 점점 더 인기를 얻고 있는 Open VSX는 보안 업그레이드를 발표했습니다. 토큰 수명 단축, 더 빠른 취소 유출된 자격 증명, 더욱 자동화된 스캐닝, 그리고 새로운 위협에 대한 VS Code 팀과의 정보 공유가 개선되었습니다.

이러한 조치에도 불구하고 생태계 안전은 끊임없이 변화하는 목표입니다. 공격자들은 빠르게 반복 작업을 수행합니다. 패키지의 브랜드를 변경하고, 이전에는 무해했던 프로젝트에 유해한 업데이트를 배포하고, 트래픽을 위장하여 개발자 편의성지역 사회의 경계와 신속한 진압이 여전히 필수적입니다.

두 시장에서 최근 사례는 어떻게 유출이 합법적인 기능처럼 보이도록 만들 수 있는지, 그리고 어떻게 교묘하게 사용하여 백도어가 지속될 수 있는지 보여줍니다. 블록체인 기반 C2, 역방향 셸, 클라우드 릴레이. 공급망의 모든 확장 기능을 코드로 취급하고 종속성에 적용하는 것과 동일한 엄격함으로 검증하세요.

이러한 결과는 간단하지만 타협할 수 없는 자세를 시사합니다. 바로 편집자를 보안 경계의 일부로 취급하는 것입니다. 여전히 접근 가능한 악성 VSCode 확장 프로그램이 여러 개 존재하고, 이더리움 기반 C2 공격에 대한 보고가 있으며, 생태계의 측정 가능한 일부가 위험할 수 있다는 증거가 있는 상황에서, 감사, 허용 목록, 네트워크 모니터링 및 개발자 교육을 구현하는 팀은 보안을 유지하는 데 가장 유리한 위치에 있을 것입니다. 소스 코드 및 자격 증명 공격자의 손에서 벗어나다.

관련 기사 :

공격자들이 Ethereum 스마트 계약을 악용해 npm 맬웨어를 숨겼다는 사실이 ReversingLabs에서 밝혀졌습니다.