개발자와 가상화폐 커뮤니티 노린 악성 VS코드 확장 프로그램 발견

최근 개발자와 가상화폐 커뮤니티를 대상으로 한 악성 캠페인이 밝혀졌다. 이 캠페인은 비주얼 스튜디오 코드(VSCode) 마켓플레이스와 엔피엠(npm) 저장소를 통해 악성 확장 프로그램과 패키지를 배포하는 공급망 공격 형태로 진행됐다. 악성 코드는 주로 생산성과 암호화폐 관련 도구를 가장해 피해자를 속이는 방식으로 배포됐다.

리버싱랩스(ReversingLabs) 연구팀은 2024년 10월 VS코드 마켓플레이스에서 18개의 악성 확장 프로그램을 발견했다고 밝혔다. 이들 확장 프로그램은 ‘EVM.Blockchain-Toolkit’, ‘VoiceMod.VoiceMod’, ‘ZoomVideoCommunications.Zoom’과 같이 합법적인 도구로 위장해 사용자들의 신뢰를 얻었다. 또한 다운로드 수를 부풀리고 가짜 리뷰를 게시해 더 신뢰할 수 있는 확장 프로그램처럼 보이도록 했다.

연구 결과에 따르면 이 확장 프로그램들은 악성 페이로드를 다운로드하도록 설계되었으며, ‘microsoft-visualstudiocode[.]com’이나 ‘captchacdn[.]com’과 같은 신뢰할 수 있는 도메인을 가장한 의심스러운 도메인을 통해 2차 페이로드를 내려받았다. 이러한 페이로드는 실행 시 데이터 탈취, 무단 시스템 접근 등 다양한 악성 활동을 수행할 수 있다.

이번 캠페인은 엔피엠(npm) 저장소로도 확장됐다. 연구팀은 ‘etherscancontracthandler’라는 악성 패키지를 발견했으며, 해당 패키지는 1.0.0에서 4.0.0 버전까지 총 350회 다운로드된 것으로 나타났다. 이 패키지 역시 악성 코드를 다운로드하도록 설계되었으며, VS코드 확장 프로그램과 마찬가지로 사용자 시스템을 표적으로 삼았다.

신뢰할 수 있는 플랫폼인 VS코드 마켓플레이스와 엔피엠이 악성 확장 프로그램과 패키지의 침투를 허용한 것은 보안상의 큰 허점을 드러낸 사례다. 연구자들은 코드 검토와 보안 점검 메커니즘의 부족이 이러한 공격이 가능하게 한 주요 요인이라고 지적했다.

특히, 이스라엘 연구팀의 한 사례에 따르면, 인기 있는 ‘드라큘라 오피셜(Dracula Official)’ 테마를 모방한 악성 확장 프로그램이 단기간에 여러 사용자, 심지어 주요 기관에서도 설치된 것으로 확인됐다. 이는 악성 코드가 신뢰받는 플랫폼을 통해 널리 확산될 수 있음을 보여주는 사례다.

개발자를 위한 보안 권고

이번 사례를 통해 악성 확장 프로그램과 패키지로부터 시스템을 보호하기 위해 개발자가 지켜야 할 보안 권고사항은 다음과 같다.

-신뢰할 수 있는 소스에서만 다운로드: 다운로드 수가 많고 커뮤니티에서 긍정적인 평가를 받은 신뢰할 수 있는 게시자의 확장 프로그램만 설치해야 한다.

-코드와 권한 검토: 확장 프로그램 설치 전 소스 코드와 요청된 권한을 확인해 의심스러운 행동이 없는지 점검해야 한다.

-정기적인 보안 감사: 개발 환경에 대한 주기적인 보안 점검을 통해 잠재적 취약점을 찾아 수정해야 한다.

-최신 정보 유지: 개발 도구와 관련된 최신 보안 권고 및 보고서를 항상 숙지해야 한다.

최근 VS코드 확장 프로그램과 엔피엠 패키지를 악용한 악성 캠페인의 증가는 위협 행위자들이 점점 더 정교한 방식으로 개발 환경과 소프트웨어 공급망을 공격하고 있음을 보여준다. 개발자와 조직은 더욱 엄격한 보안 조치를 통해 개발 환경과 소프트웨어 공급망의 무결성을 지킬 필요가 있다.