Offcanvas

개발자 / 랜섬웨어 / 보안 / 악성코드 / 애플리케이션

나도 모르게 다운로드할 수도… ‘악성 VS 코드 확장’ 주의

2023.01.19 Paul Krill  |  InfoWorld
마이크로소프트의 ‘비주얼 스튜디오 코드(Visual Studio Code)’ 편집기용으로 다운로드한 확장 프로그램을 신뢰할 수 있는가? 아쿠아 노틸러스(Aqua Nautilus) 연구진은 공격자가 VS 코드 확장 프로그램을 쉽게 사칭하여 [개발자로 하여금] 이를 다운로드하도록 속일 수 있다고 밝혔다. 
 
ⓒGetty Images Bank

아쿠아의 보안 연구원 일레이 골드만은 공식 블로그에서 “이메일 주소만 있으면 사용자 계정을 생성할 수 있기 때문에 누구나 확장 프로그램을 게시할 수 있다. 몇몇 확장 프로그램은 이미 이 공격 벡터를 악용했을 수 있다. 악성 확장 프로그램과 그렇지 않은 확장 프로그램을 구별하기란 사실상 어렵다”라며, “모든 확장 프로그램은 샌드박스 없이 VS 코드를 연 사용자의 권한으로 실행된다. 이는 확장 프로그램이 [컴퓨터에] 랜섬웨어, 와이퍼 및 기타 악성코드를 설치할 수 있다는 의미다. 심지어 사용자의 코드에도 액세스할 수 있다”라고 말했다. 

파이썬 언어 지원부터 JSON 파일 편집까지 다양한 기능을 제공하는 VS 코드 확장 프로그램은 마이크로소프트의 비주얼 스튜디오 코드 마켓플레이스(Visual Studio Code Marketplace)에서 다운로드할 수 있다. VS 코드 마켓플레이스에는 4만 개 이상의 확장 프로그램이 있다. 
 
 
위 그림이 '진짜' VS 코드 확장 프리티어(Prettier)이고 아래 그림은 이를 사칭한 '가짜'다. 이를 업로드한 이후 48시간 동안 전 세계에서 1,000건 이상의 설치가 이뤄졌다. ⓒAqua Nautilus

아쿠아 노틸러스는 [인기 있는 VS 코드 확장 프로그램인] 프리티어(Prettier) 코드 포맷터로 가장한 확장 프로그램을 마켓플레이스에 업로드했는데, 이후 48시간도 채 되지 않아 전 세계에서 1,000건 이상의 설치가 이뤄졌다고 언급했다(해당 확장 프로그램은 현재 제거됐다). 

그는 비주얼 스튜디오 코드 마켓플레이스가 각각의 새로운 확장 및 후속 업데이트에 바이러스 검사를 실행하고, 악성 확장을 발견하면 제거한다고 언급했다. 사용자는 악용 사례 신고 링크를 통해 의심스러워 보이는 확장 프로그램을 신고할 수 있다. 마이크로소프트는 예방 조치와 관련하여 다음과 같은 성명을 발표했다. 
 

“사용자를 안전하게 보호하기 위해 확장 프로그램이 마켓플레이스에 업로드되기 전에는 바이러스 및 맬웨어가 있는지 검사하고, 설치되기 전에는 마켓플레이스 인증서와 확인 가능한 서명이 있는지 확인한다. 아울러 사용자는 원치 않는 다운로드를 방지하기 위해 도메인 인증, 등급, 피드백 등의 정보를 검토하는 게 좋다.”


마이크로소프트는 피해자가 악성 확장 프로그램을 다운로드하도록 유도하는 데 소셜 엔지니어링 기법이 사용됐다고 밝혔다. 또 비주얼 스튜디오 코드에는 프로젝트나 폴더의 코드를 사용자의 명시적 승인 없이 편집기나 확장 프로그램에서 실행할 수 있는지 결정하는 데 도움을 주는 워크스페이스 트러스트(Workspace Trust) 기능이 있다고 전했다. 코드를 신뢰할 수 없다면 폴더를 제한 모드로 설정하여 실행을 방지할 수 있다. 

그렇지만 악성 VS 코드 확장 프로그램의 위협은 현실이라고 골드만은 강조했다. 아울러 그는 “VS 코드 확장이 노드(Node)로 작성되고, 패키지는 NPM에서 다운로드된다는 점도 중요하다. NPM 등의 패키지 관리자에 악성 코드 패키지가 업로드되는 위협이 있을 수 있다”라고 덧붙였다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.