악성 VS Code 확장 프로그램과 연관된 GitHub 침해, 수천 개 내부 레포지토리 노출

Source: DevOps.com

GitHub 침해 개요

GitHub에 따르면, 악성 Visual Studio Code 확장 프로그램을 통해 회사 직원의 장치가 탈취되면서 수천 개의 내부 저장소에 접근당했다고 합니다. GitHub은 악성 확장을 제거하고, 침해된 엔드포인트를 격리했으며, 조사에 착수했습니다.

약 3,800개의 내부 저장소가 영향을 받았습니다. GitHub은 조사 결과 고객 저장소나 GitHub 자체 시스템 외부의 기업 환경에 영향을 미친 증거는 발견되지 않았다고 밝혔습니다.

해킹 그룹 TeamPCP는 Breached 사이버 범죄 포럼에 올린 글에서 침입에 대한 책임을 주장하며, 소스 코드와 수천 개의 비공개 저장소를 확보했고 해당 데이터에 대해 최소 5만 달러를 요구했다고 주장했습니다. GitHub은 공식적으로 TeamPCP가 이번 공격을 수행했다고 밝히지는 않았지만, 해당 그룹의 공개 주장과 현재 진행 중인 조사 범위가 대체로 일치한다는 점을 인정했습니다.

이번 침해 사건은 소프트웨어 개발 인프라에 대한 공격이 점점 늘어나고 있음을 보여줍니다. 해커들은 개발자 플랫폼을 기업 시스템에 접근할 수 있는 효율적인 경로로 보고 있는데, 단 한 번의 침해가 여러 기업에 걸쳐 하위 접근을 가능하게 만들기 때문입니다.

GitHub은 로그를 계속 검토하고, 인증 정보를 교체하며, 이번 사건과 연관된 추가 악성 활동을 모니터링하고 있습니다. 조사 완료 후 보다 상세한 보고서를 공개할 계획입니다.

개발 도구 보호

기업 보안 팀은 점점 더 큰 과제에 직면하고 있습니다. 바로 프로덕션 시스템뿐 아니라 개발자들이 사용하는 상호 연결된 도구들을 보호하는 일입니다. 지난 몇 년간 악성 확장 프로그램과 백도어가 삽입된 오픈소스 패키지가 인증 정보 탈취 및 랜섬웨어 배포에 이용되었습니다.

Visual Studio Code 확장 프로그램은 마이크로소프트의 널리 사용되는 코드 편집기에 기능과 통합을 추가하기 위해 흔히 사용됩니다. 이러한 확장은 개발 환경 내에서 높은 권한으로 동작하는 경우가 많아, 플러그인이 탈취되면 공격자가 내부 시스템에 접근할 수 있습니다.

VS Code 마켓플레이스와 관련된 이전 사건들에서는 정식 개발 도구를 가장한 확장이 비밀리에 인증 정보를 수집하거나 악성 코드를 배포한 사례가 있었습니다. 1월에는 악성 AI‑테마 코딩 어시스턴트 확장이 확인되었으며, 이들은 침해된 시스템에서 데이터를 중국에 위치한 인프라로 전송한 것으로 알려졌습니다.

TeamPCP는 오픈소스 생태계를 목표로 하는 소프트웨어 공급망 공격에서 눈에 띄는 행위자로 떠올랐습니다. 연구진은 이 그룹을 GitHub Actions 워크플로, npm 패키지, Docker 환경, PyPI 저장소 등을 이용한 캠페인과 연결지었습니다. 이들 중 다수는 SSH 키, Kubernetes 설정, 클라우드 인증 정보 등 민감한 개발자 정보를 탈취하는 데 초점을 맞추었습니다. 또한, 정식 저장소를 통해 배포된 소프트웨어 패키지와 개발자를 속여 악성 코드를 다운로드하게 하는 타이포스쿼팅 캠페인에도 연관된 것으로 밝혀졌습니다.

기업이 AI‑보조 코딩 도구와 오픈소스 의존성을 활용해 소프트웨어 개발 속도를 높이면서 공격 위험도 확대되었습니다. 이제 많은 기업이 제3자 플러그인 및 확장의 방대한 생태계에 의존하고 있으며, 이는 추가적인 보안 노출을 초래할 수 있습니다.