VSCode 노린 자동 실행 악성코드 포착

VSCode 노린 자동 실행 악성코드 포착

개발자들이 널리 사용하는 코드 편집기 비주얼 스튜디오 코드(VSCode)의 자동화 기능을 악용해, 프로젝트 폴더를 여는 것만으로 악성코드가 실행되는 새로운 가상화폐 탈취 공격이 확인됐다. 공격자는 깃허브(GitHub)에 정상 오픈소스 프로젝트처럼 위장한 저장소를 배포해, 개발환경 자체를 침투 지점으로 삼았다.

깃허브 사회공학으로 시작된 공격

공격자는 웹 개발이나 인공지능(AI) 등 개발자 관심도가 높은 주제를 내세운 가짜 오픈소스 저장소를 제작했다. 일부는 실제로 동작하는 코드까지 포함해 의심을 낮춘 뒤, 내부에 악성 실행 경로를 은밀히 숨겼다.

개발자가 프로젝트를 내려받아 로컬에서 열어보는 평범한 행동 자체가 감염의 시작점이 되도록 공격 흐름이 설계된 점이 이번 사례의 핵심이다.

VSCode 자동 실행 기능 악용

문제의 핵심은 VSCode의 작업 자동화 기능이다. 공격자는 프로젝트 내부에 .vscode 폴더를 두고, 그 안에 tasks.json 파일을 삽입해 폴더가 열리는 순간 특정 작업이 자동 실행되도록 구성했다.

실행 여부를 사용자가 인지하지 못하도록 작업 창을 숨기는 등, 개발 편의 기능을 사실상의 침투 트리거로 전환한 방식으로 분석됐다.

리소스 파일 위장과 다중 OS 표적

악성코드 본체는 폰트 파일(.woff2)이나 이미지 파일(.svg, .jpeg)로 위장돼 프로젝트 리소스처럼 보이도록 꾸며졌다. 이는 보안 검사와 개발자의 육안 검토를 동시에 회피하려는 시도로 해석된다.

공격 대상 운영체제는 윈도우, macOS, 리눅스 전반으로, 특정 OS에 국한되지 않고 개발자 환경 전체를 위협할 수 있는 구조로 분석됐다.

브라우저 인증정보와 가상화폐 지갑 탈취

감염 이후 악성코드는 크롬, 파이어폭스, 엣지 등 주요 브라우저에 저장된 비밀번호, 쿠키, 자동완성 정보 등 인증 데이터를 수집했다.

동시에 메타마스크, 팬텀 등 가상화폐 지갑 확장프로그램 데이터도 노렸으며, 표적으로 삼은 지갑 종류는 24개 이상으로 확대된 정황이 언급됐다.

북한 연계 공격 정황

분석 측은 이번 공격을 북한 연계 위협으로 추정했으며, 개발자를 표적으로 삼는 ‘Contagious Interview’ 캠페인 계열과의 유사성을 지적했다.

가상화폐 중심 수익화, 개발자 대상 사회공학, 다단계 페이로드 구조 등은 과거 북한 연계 공격에서 반복적으로 관측된 패턴이다. 다만 최종 귀속 판단을 위해서는 추가적인 TTP 및 인프라 분석이 필요하다는 점도 함께 언급된다.

개발자가 취해야 할 대응 방안

출처 불명 깃허브 저장소는 열기 전 재검증
.vscode 폴더와 tasks.json 사전 확인
자동 작업 실행 설정 보수적 운영
개발용 PC 브라우저 비밀번호 최소화
가상화폐 지갑은 하드웨어 지갑 사용

특히 VSCode의 자동 작업 실행 설정은 생산성 향상 요소인 동시에 공격 트리거가 될 수 있다. 자동화를 허용하더라도 신뢰된 프로젝트로 한정하는 운영 원칙이 필요하다.

의심 시 즉각 조치

의심스러운 프로젝트를 열었다면 즉시 네트워크 연결을 차단하고 전체 악성코드 검사를 수행해야 한다. 이후 브라우저, 깃허브, 클라우드, 개발 플랫폼 계정의 비밀번호 변경과 세션 강제 종료를 병행하는 것이 바람직하다.

가상화폐 지갑은 노출을 전제로 보고 자산을 새 지갑으로 즉시 이동하는 것이 피해 확산을 줄이는 데 도움이 된다.