TigerJack라는 위협 요소는 Microsoft의 Visual Code (VSCode) 마켓플레이스와 OpenVSX 레지스트리에 악성 확장 프로그램을 게시하여 개발자들을 지속적으로 공격하고 있습니다. 이들은 암호화폐를 훔치고 백도어를 심는 것을 목표로 하며, 두 개의 확장 프로그램은 VSCode에서 17,000회 다운로드 된 후 제거되었지만, OpenVSX에는 여전히 존재합니다. 또한 TigerJack는 동일한 악성 코드를 VSCode 마켓플레이스에 새로운 이름으로 재게시합니다. OpenVSX는 Microsoft의 플랫폼 대안으로 동작하는 커뮤니티 유지 오픈 소스 확장 마켓플레이스로, 독립적이고 벤더 중립적인 레지스트리를 제공합니다.

Koi Security의 연구원들이 발견한 이번 캠페인은 올해 초부터 최소 11개의 악성 VSCode 확장 프로그램을 배포했습니다. VSCode 마켓플레이스에서 제거된 두 확장 프로그램은 C++ Playground와 HTTP Format으로, 연구원들에 따르면 이들은 새로운 계정을 통해 플랫폼에 재소개되었습니다. C++ Playground가 실행되면, C++ 파일에 대한 리스너('onDidChangeTextDocument')를 등록하여 소스 코드를 여러 외부 엔드포인트로 유출합니다. 이 리스너는 키 입력을 거의 실시간으로 캡처하기 위해 편집 후 약 500 밀리초 후에 발동합니다.

요약

• TigerJack는 Microsoft의 Visual Code (VSCode) 마켓플레이스와 OpenVSX 레지스트리에 악성 확장 프로그램을 게시하여 개발자들을 지속적으로 공격하고 있다.
• 이들은 암호화폐를 훔치고 백도어를 심는 것을 목표로 하며, 두 개의 확장 프로그램은 VSCode에서 17,000회 다운로드 된 후 제거되었지만, OpenVSX에는 여전히 존재한다.
• Koi Security의 연구원들이 발견한 이번 캠페인은 올해 초부터 최소 11개의 악성 VSCode 확장 프로그램을 배포했다.
• VSCode 마켓플레이스에서 제거된 두 확장 프로그램은 C++ Playground와 HTTP Format으로, 연구원들에 따르면 이들은 새로운 계정을 통해 플랫폼에 재소개되었다.
• C++ Playground가 실행되면, C++ 파일에 대한 리스너('onDidChangeTextDocument')를 등록하여 소스 코드를 여러 외부 엔드포인트로 유출한다. 이 리스너는 키 입력을 거의 실시간으로 캡처하기 위해 편집 후 약 500 밀리초 후에 발동한다.

Reference

https://www.bleepingcomputer.com/news/security/malicious-crypto-stealing-vscode-extensions-resurface-on-openvsx/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다