VS Code Extension 공급망 공격을 통한 내부 Repo 3,800개 유출 사례 분석

GitHub confirmed a breach last week that exposed around 3,800 internal repositories. The cause wasn't a zero-day. It was a VS Code extension.

TheJS PythonGuy2026년 5월 22일2분intermediate

AI 요약

Context

VS Code Marketplace의 자동 업데이트 메커니즘과 개발자의 신뢰 기반 설치 관행을 악용한 공급망 공격 발생. 단순 JavaScript 기반 스크립트 실행 방식으로 인해 기존 Binary 중심 EDR 탐지 체계를 무력화한 보안 허점 노출.

Publisher Token 탈취를 통한 악성 JavaScript 배포 및 자동 업데이트를 이용한 개발자 로컬 환경 침투
.env 파일 및 로컬 저장 Credentials를 타겟팅한 데이터 Exfiltration 수행
Extension 자동 업데이트 비활성화 및 최소 48시간의 업데이트 지연 정책 도입을 통한 악성 버전 필터링
MDM 및 Group Policy 기반의 Approved List 관리 체계 구축으로 비인가 확장 프로그램 설치 차단
로컬 Disk 내 Secret 저장 방식에서 1Password CLI, Vault 등 Memory-based Secret Fetching 구조로 전환
Signature 기반 탐지에서 벗어나 비정상 Repo Clone 및 API Call 패턴 분석 중심의 Behavior Monitoring 강화

실천 포인트

1. Extension 자동 업데이트 비활성화 및 버전 검토 프로세스 수립

2. 로컬 .env 파일 제거 및 Centralized Secret Management 도구 도입

3. MDM을 활용한 설치 가능 확장 프로그램 화이트리스트 강제 적용

4. 이상 징후 기반의 개발자 머신 행위 모니터링 알림 설정

태그