개발자를 노리는 VSCode 악성 확장 프로그램

최근 Visual Studio Code(VSCode) 확장 프로그램에서 악성 코드가 발견되었다는 소식입니다.
이와 관련된 사례를 보안 전문가 Amit Assaraf와 Reversing Labs가 보고하였습니다.
이러한 공격은 특히 소프트웨어 및 Web3, 암호화폐 개발자들을 주요 타깃으로 하고 있습니다.
이번 글에서는 문제의 배경과 주요 특징, 그리고 대응 방안을 정리해보겠습니다.

1. 공격의 배경과 대상

2024년 10월부터 시작된 이번 공격은 Web3 및 암호화폐 프로젝트 개발자들을 주요 대상으로 삼고 있습니다.
공격자들은 VSCode 마켓플레이스와 npm 패키지 등을 활용하여 확장 프로그램을 위장해 배포했는데요.
Solidity(스마트 계약 프로그래밍 언어)나 Zoom 관련 툴 같은 신뢰도가 높은 도구를 위장하여 사용자를 속이는 방식이 사용되었습니다.

특히, 이 악성 확장은 소프트웨어 공급망 전체에 영향을 미칠 가능성이 높아,
개별 개발자뿐만 아니라 더 큰 차원의 보안 위협으로 이어질 수 있다는 점에서 심각성이 강조됩니다.

2. 악성 확장의 특징과 동작 방식

이번 악성 확장 프로그램은 겉으로 보기에는 정상적인 도구처럼 보이지만, 다음과 같은 특징을 가지고 있습니다.

1. 2단계 페이로드 실행
   • 확장 프로그램은 설치된 후 숨겨진 PowerShell 명령을 통해 추가 악성 코드를 실행합니다.
   • 이 과정에서 AES로 암호화된 데이터를 해독하여 사용자에게 더 큰 피해를 줄 수 있는 명령어를 실행합니다.
2. 난독화된 파일
   • 악성 코드는 강력하게 난독화되어 있어 기존의 보안 솔루션으로 탐지하기가 어렵습니다.
   • 보안 전문가들은 이러한 난독화가 공격자들이 추적을 피하기 위한 주요 전략이라고 분석합니다.
3. 리뷰 및 설치 수 조작
   • 이 확장은 신뢰를 얻기 위해 높은 설치 수와 긍정적인 리뷰를 활용합니다.
   • 또한 공식 소셜 미디어 링크나 이메일 정보를 제공하여 사용자로 하여금 신뢰하도록 유도합니다.

3. 피해를 예방하는 방법

보안 전문가들은 다음과 같은 조치를 통해 이러한 위협으로부터 자신을 보호할 것을 권장합니다.

• 공식 소스 확인
  확장 프로그램 설치 전, 반드시 공식 소스와 인증 정보를 확인하세요.
  출처가 불분명하거나 비정상적으로 긍정적인 평가가 많다면 의심해보는 것이 좋습니다.
• 리뷰와 설치 수만 믿지 않기
  리뷰와 설치 수는 조작될 가능성이 큽니다.
  확장 프로그램이 어떤 권한을 요구하는지 세부적으로 살펴보는 것이 중요합니다.
• 정기적인 보안 검사
  안티바이러스 소프트웨어를 사용하여 주기적으로 시스템을 점검하고, 의심스러운 파일을 확인하세요.
• "신뢰하되 검증하기" 원칙 실천
  특히 암호화폐 및 Web3 개발 환경에서는 모든 도구와 확장을 신중히 검증하는 것이 중요합니다.

4. 보고된 주요 사례

현재까지 보고된 악성 확장 프로그램의 구체적인 리스트는 공개되지 않았지만,
보안 전문가들의 분석에 따르면, 다음과 같은 특징이 발견되었습니다.

• Web3 및 암호화폐 관련 툴을 위장
  Zoom 및 Solidity 관련 패키지를 포함하여, 일반적으로 신뢰받는 도구처럼 보이는 확장 프로그램이 타깃입니다.
• npm과 VSCode 마켓플레이스에서 발견
  이번 공격은 npm 패키지와도 연계되어 있어 소프트웨어 공급망의 다층적인 위협을 가중시키고 있습니다.
• 악성 코드가 실행 중에도 탐지가 어려운 난독화
  AES 암호화, PowerShell 명령을 활용한 페이로드 실행 등으로, 기존 보안 툴로 탐지하기 어렵게 설계되었습니다.

마무리하며

이번 VSCode 악성 확장 프로그램 사례는 공급망 공격이 얼마나 은밀하고 치명적일 수 있는지를 보여줍니다.
개발자분들께서는 확장 프로그램 설치 시 항상 신중하게 검토하시고,
최신 보안 정보를 꾸준히 확인하시는 것을 추천드립니다.

이러한 보안 사고는 단순히 개인의 문제가 아니라, 프로젝트와 공급망 전체에 영향을 미칠 수 있기 때문에
더욱 철저한 대비가 필요합니다.