개발 개발 툴
D
dev_to
VSCode 확장 프로그램 보안 위험 분석: 악성 기능 3개 발견
AI Store에서 AI코딩으로 만들어진 앱을 만나보세요!
지금 바로 방문하기

VSCode 확장 프로그램의 악성 기능: 1,000개 확장 프로그램 분석 결과

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

개발 툴

대상자

  • 개발자: 확장 프로그램의 보안 리스크 분석 및 사용자 보호
  • 보안 엔지니어: 공급망 보안 감사 및 취약점 탐지
  • 팀 관리자: 보안 개발 환경 운영
  • 난이도: 중간 이상 (보안 개념 및 도구 사용 이해 필요)

핵심 요약

  • VSCode 확장 프로그램은 시스템 전체에 접근 가능하며 사용자 인증 정보 유출, 네트워크 연결 등의 위험 존재
  • VSCan 도구를 통해 1,077개 확장 프로그램 분석 결과: 악성 기능 3개, 취약한 의존성 33개, 하드코딩된 비밀값 39개 등 심각한 보안 문제 발견
  • VSCan은 정적 분석 기반으로 확장 프로그램의 악성 코드, 취약한 API 사용, 불안전한 권한 설정 등을 탐지

섹션별 세부 요약

1. VSCode 확장 프로그램의 위험성

  • 시스템 전체 접근 권한 보유: 파일 시스템, 네트워크, 터미널, 인증 정보에 대한 무제한 접근
  • 보안 모델 부재: 샌드박스, 권한 관리, 검증 기능 없음
  • 확장 프로그램의 영향력: 1400만 개발자 사용, 75%의 코드 에디터 시장 점유

2. VSCan 분석 결과

  • 악성 기능: 3개 확장 프로그램에서 악성 코드 탐지 (반드시 악성 소프트웨어 엔진 검출)
  • 위험한 네트워크 연결: 7개 확장 프로그램이 위험한 IP 주소에 연결
  • 취약한 의존성: 33개 확장 프로그램에서 중요 취약점이 있는 구식 라이브러리 사용
  • 하드코딩된 비밀값: 39개 확장 프로그램에서 API 키, 인증 정보 등 공개된 비밀값 포함

3. VSCan 도구의 기능

  • 정적 분석 기반 탐지:
  • 암호화된/악성 코드, 위험한 API 사용, 불안전한 권한 설정 탐지
  • 의존성 라이브러리의 취약점, 네트워크 연결, 명령어 실행 분석
  • OSSF Scorecard 기반 개발 실천 평가, AI 기반 코드 논리 분석
  • 샌드박스 지원: 런타임 시 파일 접근, 쉘 실행, 네트워크 활동 제한

4. VSCan의 활용 목적

  • 개발자: 제3자 확장 프로그램 검증
  • 보안 엔지니어: 공급망 구성 요소 감사
  • 확장 프로그램 개발자: 출판 전 문제점 점검
  • VSCode 대체 툴 사용자: 기본 설정 보안 강화

결론

  • VSCan 도구는 확장 프로그램의 악성 기능 및 보안 취약점 탐지를 위해 정적 분석과 샌드박스 기능을 결합한 무료 도구로, https://vscan.dev에서 사용 가능
  • 확장 프로그램 설치 전 반드시 VSCan으로 분석하여 시스템 보안을 강화해야 함
VSCode security extensions malicious static analysis VSCan security risks
목록으로 원문 보기