VS Code의 제어불능 멀웨어 문제: 마이크로소프트 자체 로그가 밝히는 내용

Source: Dev.to

소개

당신이 나와 같은 경우라면, VS Code 설정은 테마, 린터, 생산성 향상 도구들을 신중하게 모아 놓은 컬렉션일 것입니다. 우리는 Visual Studio Marketplace가 우리 생활을 편리하게 해 주는 도구들의 안전한 피난처라고 믿습니다. 하지만 GitHub에 있는 공식 삭제 확장 목록을 살펴보면 훨씬 더 끔찍한 현실이 드러납니다.

Marketplace는 반응형 모델로 운영됩니다. Microsoft는 자동 스캔을 실행하지만, 악성 코드는 대부분 이미 배포되어 무방비한 개발자들에게 다운로드된 뒤에야 삭제됩니다.

악성 확장의 유형

• 자격 증명 탈취 – .env 파일, SSH 키 또는 기타 민감한 자격 증명을 수집하는 확장.
• 타이포스쿼팅 – 인기 있는 확장(예: Prettier, ESLint)의 악성 복제본으로, 이름에 사소한 오타가 있어 사용자를 속입니다.
• 원격 접근 – 개발 환경에 백도어를 열어 공격자가 파일을 읽고, 키 입력을 추적하며, 데이터를 유출할 수 있게 하는 플러그인.

자신을 보호하는 방법

게시자를 확인하세요

“Verified”(검증됨) 체크마크를 찾아보세요. 인기 있는 도구가 이력이 전혀 없는 무작위 계정에 의해 게시된 경우 사용을 피하십시오.

숫자를 검증하세요

확장이 널리 사용되는 도구라고 주장하지만 다운로드 수가 수백 회에 불과하고 정식 버전은 수백만 회라면, 이는 타이포스쿼팅 시도일 가능성이 높습니다.

목록을 감사하세요

설치된 확장을 주기적으로 검토하십시오. 몇 년 동안 업데이트되지 않은 확장은 안전성을 다시 평가해야 합니다.

더 깊은 검사를 수행하세요

기본 스토어 필터는 우회될 수 있습니다. VS Code 확장 보안 분석기를 사용해 심층 평가를 수행하고, 난독화된 코드, 숨겨진 네트워크 연결, 위험한 종속성을 확인하십시오. 분석기는 코드가 머신에 적용되기 전에 위험 보고서를 생성합니다.

결론

VS Code Marketplace는 놀라운 자원이지만, 그것이 본질적으로 안전하다고 가정해서는 안 됩니다. “Removed Packages”(삭제된 패키지) 목록은 악성 코드가 계속해서 틈새를 통해 들어온다는 것을 증명합니다. 오늘 몇 분만 투자해 확장을 감사해 보세요—나중에 침해된 머신을 다루는 것보다 훨씬 나은 선택입니다.