지난달 OpenVSX와 Visual Studio Code 마켓플레이스에 영향을 미친 GlassWorm 악성코드 캠페인이 새로운 VSCode 확장 프로그램 세 개를 통해 재등장했습니다. 이 확장 프로그램들은 이미 10,000회 이상 다운로드되었습니다. GlassWorm은 GitHub, NPM, OpenVSX 계정 자격 증명과 49개 확장 프로그램에서 암호화폐 지갑 데이터를 대상으로 하는 페이로드를 가져오기 위해 Solana 거래를 활용하는 캠페인 및 악성코드입니다. 이 악성코드는 공백으로 표시되지만 JavaScript로 실행되어 악의적인 행동을 촉진하는 보이지 않는 유니코드 문자를 사용합니다.
이 악성코드는 처음에 Microsoft의 VS Code와 OpenVSX 마켓플레이스에서 12개의 확장 프로그램을 통해 나타났으며, 이들은 35,800회 다운로드되었습니다. 그러나 이 다운로드 수는 위협 행위자에 의해 과장되었다고 생각되어, 캠페인의 전체 영향은 알려져 있지 않습니다. 이 공격에 대응하여 Open VSX는 GlassWorm에 의해 침해된 수많은 계정의 액세스 토큰을 변경하고, 보안 강화를 실시하며, 이 사건을 종결했습니다.
Koi Security에 따르면, 공격자는 같은 인프라를 사용하면서 업데이트된 명령 및 제어(C2) 엔드포인트와 Solana 거래를 사용해 OpenVSX로 돌아왔습니다. GlassWorm 페이로드를 가진 세 개의 OpenVSX 확장 프로그램은 모두 원래 파일과 같은 보이지 않는 유니코드 문자를 사용하여 OpenVSX의 새로 도입된 방어를 우회하는 것으로 보입니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.