GitHub, 악성 VSCode 확장 프로그램을 통한 3,800개 저장소 침해 확인
Source: Bleeping Computer
사고 개요
GitHub은 직원이 악성 VS Code 확장 프로그램을 설치한 뒤 약 3,800개의 내부 저장소가 침해되었다고 확인했습니다. 회사는 VS Code Marketplace에서 트로이 목마가 포함된 확장 프로그램을 제거하고, 침해된 장치를 안전하게 만든 뒤 사고 대응을 시작했습니다.
“어제 우리는 직원 장치가 중독된 VS Code 확장 프로그램과 관련된 침해를 감지하고 차단했습니다. 악성 확장 프로그램 버전을 제거하고, 엔드포인트를 격리했으며, 즉시 사고 대응을 시작했습니다.”라고 회사는 상태 업데이트에서 밝혔습니다.
“현재 우리의 평가에 따르면 이번 활동은 GitHub 내부 저장소만을 대상으로 한 데이터 유출이었습니다. 공격자가 주장하는 약 3,800개의 저장소라는 수치는 지금까지 진행된 조사와 방향성이 일치합니다.”
GitHub은 이후 BleepingComputer에 내부 저장소에 대한 무단 접근 주장에 대해 조사 중이라고 밝히며, 영향을 받은 저장소 외부에 저장된 고객 데이터가 영향을 받았다는 증거는 없다고 덧붙였습니다.
위협 행위자 주장
TeamPCP 해커 그룹은 Breached 사이버 범죄 포럼에서 GitHub 소스 코드와 “~4,000개의 개인 코드 저장소”에 접근했다고 주장하며, 도난당한 데이터에 대해 최소 $50,000을 요구했습니다.
“항상 그렇듯 이것은 몸값이 아니며, 우리는 Github을 협박하는 것에 관심이 없습니다. 구매자 1명을 찾고 우리 쪽에서 데이터를 파기합니다. 은퇴가 곧 다가오는 것 같아 구매자를 찾지 못하면 무료로 유출할 것입니다. 관심이 있다면 아래 연락처로 제안을 보내 주세요. 50k 이하의 제안은 받지 않으며, 가장 좋은 제안을 하는 사람이 데이터를 얻게 될 것입니다.”
TeamPCP에 대한 배경
- GitHub – Trivy vulnerability scanner breach pushed infostealer via GitHub Actions
- PyPI – Backdoored Telnyx PyPI package pushes malware hidden in WAV audio
- NPM – TeamPCP deploys Iran‑targeted wiper in Kubernetes attacks
- Docker – Trivy supply‑chain attack spreads to Docker GitHub repos
- “Mini Shai‑Hulud” campaign – 두 명의 OpenAI 직원에게 영향을 미침 (details)
VS Code 확장 프로그램 및 과거 사건
- 2023 – 9백만 회 설치된 확장 프로그램이 보안 위험 때문에 삭제되었습니다 (source). 정품 도구인 척한 또 다른 10개의 확장 프로그램이 사용자를 XMRig 암호화 채굴기에 감염시켰습니다 (source).
- 2023 말 – 기본적인 랜섬웨어 기능을 가진 악성 확장 프로그램이 위협 행위자 WhiteCobra가 24개의 암호화폐 절도 확장 프로그램을 시장에 대량 투입한 뒤 시장에 나타났습니다 (source).
- 2024년 1월 – 두 개의 AI 기반 코딩 어시스턴트 확장 프로그램(150만 회 설치)이 침해된 개발자 시스템에서 데이터를 중국 서버로 유출했습니다 (source).
GitHub 규모
GitHub의 클라우드‑기반 플랫폼은 현재 다음과 같이 사용됩니다:
- 4 백만 개 이상의 조직 (Fortune 100의 90 % 포함)
- 1억 8천만 명 이상의 개발자
- 4억 2천만 개 이상의 코드 저장소
이러한 수치는 개발자 도구에 영향을 미치는 공급망 타협의 잠재적 영향을 강조합니다.