이스라엘 사이버 보안 연구원 그룹은 트로이 목마 확장 프로그램을 사용하여 Visual Studio Code(VSCode) 마켓플레이스의 심각한 취약점을 악용하여 100개 이상의 조직을 감염시켰습니다.
일반적으로 VSCode라고도 하는 Visual Studio Code는 Microsoft에서 Windows, Linux, macOS 및 웹 브라우저용으로 개발하고 전 세계 상당수의 전문 소프트웨어 개발자가 사용하는 널리 사용되는 무료 소스 코드 편집기입니다.
연구 결과를 입증하기 위해 연구원인 Amit Assaraf, Itay Kruk 및 Idan Dardikman은 "Dracula Official"(+6,000,000 설치 수 이상)이라는 인기 있는 드라큘라 테마를 사용하고 자신만의 카피캣인 "Darcula Official"을 만들었습니다.
연구원들은 소스코드를 다운로드한 후 자신의 코드를 추가하고 마케팅 리소스를 모두 복사했습니다.
그 후 그들은 공식 draculatheme.com과 유사한 도메인 이름 darculatheme[.]com을 얻을 수 있었습니다.
이 도메인은 가짜 확장 프로그램에 신뢰성을 추가하기 위해 VSCode Marketplace에서 확인된 게시자가 되는 데 사용되었습니다. 팀은 단 30분 만에 유해한 확장 프로그램을 게시할 수 있었습니다.
VSCode Marketplace는 사용자가 언어, 디버거 및 도구를 설치에 추가하여 개발 워크플로를 지원할 수 있는 IDE(통합 개발 환경)에 대한 가장 인기 있는 확장 시장입니다.
악성 확장 프로그램은 합법적인 Darcula 테마의 실제 코드를 사용할 뿐만 아니라 호스트 이름, 도메인, 플랫폼, 확장 프로그램 수 등과 같은 시스템 정보를 추출하고 데이터를 원격으로 보내는 추가 스크립트도 포함합니다. HTTPS POST 요청을 통해 서버.
연구원들에 따르면, 많은 파일 읽기, 여러 명령 실행, 하위 프로세스 생성을 허용하는 VSCode의 설계로 인해 'Darcula' 확장 프로그램의 활동은 표준 엔드포인트 탐지 및 응답(EDR) 도구에서 감지되지 않았습니다. 관대하게 대우받았습니다.
“안타깝게도 기존 엔드포인트 보안 도구(EDR)는 이러한 활동을 감지하지 못합니다(책임 있는 공개 프로세스 중에 일부 조직에 대한 RCE의 예를 시연했듯이). VSCode는 많은 파일을 읽고 많은 명령을 실행하며 하위 프로세스를 생성하도록 구축되었습니다. 따라서 EDR은 VSCode의 활동이 합법적인 개발자 활동인지 아니면 악성 확장인지 이해할 수 없습니다.” – 아미트 아사라프
흥미롭게도 확장 기능이 VSCode Marketplace에 게시된 후 연구원들은 확장 기능을 홍보하거나 개발자가 확장 기능을 설치하도록 하기 위해 특별한 조치를 취하지 않고도 100명 이상의 다양한 피해자를 확보할 수 있었습니다("Darcula 테마" 검색 시).
VSCode Marketplace에서 며칠 후, 시가총액 4,830억 달러 규모의 상장 회사, 최대 보안 회사 및 국가 사법 법원 네트워크를 통해 확장 프로그램이 설치되었습니다. 연구원들은 영향을 받은 회사의 이름을 공개하지 않기로 결정했습니다.
실험에는 악의적인 의도가 없었기 때문에 연구원들은 식별 정보만 수집하여 확장 프로그램의 Read Me, 라이선스, 코드에 공개했습니다.
연구원들은 'ExtensionTotal'이라는 사용자 지정 도구를 사용하여 VSCode Marketplace의 위협 환경을 분석하고 초기 연구에서 다음과 같은 고위험 확장을 발견했습니다.
1,283개의 확장 기능, 총 설치 횟수 2억 2900만 건
JS 코드에서 하드코딩된 IP 주소와 통신하는 8161 확장
호스트 시스템에서 알 수 없는 실행 가능 바이너리 또는 DLL을 실행하는 확장 프로그램 1,452개 .
2,304개는 다른 게시자의 GitHub 저장소를 공식 목록 저장소로 사용하고 있으며 모방 확장을 제안하고 있습니다.
특히 악의적인 Visual Studio Code Marketplace에서 발견된 한 가지 유해한 확장 프로그램은 사이버 범죄자의 서버에 대한 리버스 셸을 열 수 있었습니다.
“숫자로 알 수 있듯이 Visual Studio Code 마켓플레이스에는 조직에 위험을 초래하는 수많은 확장이 있습니다. VSCode 확장은 가시성이 없고 영향이 크며 위험이 높은 남용되고 노출된 공격 분야입니다. 이 문제는 조직에 직접적인 위협이 되며 보안 커뮤니티의 관심을 받을 만합니다.”라고 연구원들은 경고했습니다.
연구원들은 자신들이 발견한 모든 악성 확장 프로그램을 Microsoft에 책임감 있게 보고하고 제거를 요청했습니다. 이 기사를 작성하는 현재 VSCode Marketplace를 통해 많은 악성 확장 프로그램을 다운로드할 수 있습니다.
또한 연구원들은 개발자가 환경 내에서 잠재적인 위협을 검색하는 데 도움이 되는 무료 도구로 'ExtensionTotal' 도구를 출시할 계획입니다.
Microsoft는 Visual Studio Marketplace의 악성 확장의 현재 상태와 보안 강화 계획에 대한 문의에 아직 응답하지 않았습니다.
*참조한 원본 글: https://www.techworm.net/2024/06/malicious-vscode-extensions.html
'인생그것은약속위반 > 관심' 카테고리의 다른 글
| 중국 해커들이 FortiGate 시스템 20,000대를 감염시켰습니다: 보고서 (1) | 2024.06.15 |
|---|---|
| PHP 취약점으로 인해 해커가 Windows Server를 원격으로 제어할 수 있음 (0) | 2024.06.15 |
| Google 검색에서 AI 개요를 숨기는 3가지 방법 (1) | 2024.06.08 |
댓글