GitHub, 악성 VSCode 확장을 통한 3,800개 저장소 침해 확인

• GitHub 내부 저장소 약 3,800개가 직원 1명의 악성 VS Code 확장 설치 뒤 침해됐으며, 현재 평가는 유출 범위를 내부 저장소로 한정함
• GitHub는 트로이목마화된 확장을 VS Code Marketplace에서 제거하고 감염 엔드포인트를 격리했으며, 즉각적인 사고 대응에 착수함
• TeamPCP는 GitHub 소스 코드와 비공개 코드 약 4,000개 저장소 접근을 주장하며, 탈취 데이터에 최소 5만 달러를 요구함
• VS Code 확장은 공식 스토어에서 설치되는 플러그인이지만, 과거에도 자격 증명 탈취, 채굴기, 랜섬웨어 기능, 암호화폐 탈취 확장이 발견됨
• GitHub는 영향을 받은 저장소 밖의 고객 데이터 침해 증거는 없다고 밝혔고, 플랫폼은 1억8,000만 명 이상 개발자가 사용함

GitHub 침해 확인과 대응

• GitHub는 직원 1명이 악성 VS Code 확장을 설치한 뒤 내부 저장소 약 3,800개가 침해됐다고 확인함
• 이름이 공개되지 않은 트로이목마화 확장은 VS Code Marketplace에서 제거됐고, 침해된 기기는 보호 조치됨
• GitHub는 X 게시물에서 “오염된 VS Code 확장과 관련된 직원 기기 침해를 탐지하고 차단했다”며, 악성 확장 버전 제거, 엔드포인트 격리, 즉각적인 사고 대응 착수를 밝힘
• 현재 평가는 활동 범위가 GitHub 내부 저장소 유출에 한정되며, 공격자가 주장한 약 3,800개 저장소 규모가 조사 결과와 대체로 일치함
• GitHub는 전날 BleepingComputer에 내부 저장소 무단 접근 주장 조사를 진행 중이라고 밝혔고, 영향을 받은 저장소 밖에 저장된 고객 데이터가 침해됐다는 증거는 없다고 덧붙임

TeamPCP 주장과 VS Code 확장 위험

• TeamPCP 해커 그룹은 Breached 사이버범죄 포럼에서 GitHub 소스 코드와 “비공개 코드 약 4,000개 저장소” 접근을 주장하며, 탈취 데이터에 최소 5만 달러를 요구함
• TeamPCP는 “랜섬은 아니며 GitHub를 갈취하는 데 관심이 없다”고 했고, 구매자 1명에게 판매한 뒤 보유 데이터를 삭제하겠다고 밝힘
• TeamPCP는 개발자 코드 플랫폼을 겨냥한 대규모 공급망 공격과 연결된 바 있으며, 대상에는 GitHub, PyPI, NPM, Docker가 포함됨
• TeamPCP는 최근 두 명의 OpenAI 직원에게도 영향을 준 “Mini Shai-Hulud” 공급망 캠페인과도 연결됨
• VS Code 확장은 Microsoft 코드 편집기에 기능을 추가하거나 도구를 통합하기 위해 공식 스토어인 VS Code Marketplace에서 설치하는 플러그인임
• VS Code Marketplace에서는 과거에도 개발자 자격 증명과 민감 데이터를 훔치는 악성 확장이 반복적으로 발견됨
• 지난해에는 설치 수 900만 회 규모의 VSCode 확장들이 보안 위험으로 제거됐고, 합법적인 개발 도구처럼 위장한 10개 확장이 XMRig 암호화폐 채굴기로 사용자를 감염시킴
• 이후 기본적인 랜섬웨어 기능을 가진 악성 확장이 VS Code Marketplace에 올라왔고, WhiteCobra라는 위협 행위자는 암호화폐 탈취 확장 24개를 등록함
• 올해 1월에는 AI 기반 코딩 도우미로 홍보된 설치 수 150만 회 규모의 악성 확장 2개가 감염된 개발자 시스템에서 중국 서버로 데이터를 유출함
• GitHub 클라우드 플랫폼은 현재 400만 개 이상 조직, Fortune 100의 90%, 1억8,000만 명 이상 개발자가 사용하며, 4억2,000만 개 이상 코드 저장소에 기여하고 있음