사이코드 연구원들은 Microsoft의 Visual Studio Code(VS Code)에 내재한 보안 결함을 발견했습니다. 이 결함은 악성 확장으로부터 인증 토큰을 접근하고 추출하는 것을 가능하게 하는데, 이 토큰들은 Git, GitHub 등의 서드파티 서비스와 API에 대한 통합에 사용됩니다. 따라서 이런 토큰들이 훔쳐져 나간다면 해당 조직의 데이터 보안에 중대한 문제를 초래할 가능성이 있습니다. 하지만 마소는 확장 프로그램들이 전체 환경으로부터 격리되어 있지 않다는 이유로 이 문제를 해결하기로 결정하지 않았습니다.

사이코드 연구원들이 발견한 VS Code의 '비밀 저장소' 인증 토큰은 모든 확장 프로그램, 악의적인 것들까지도 접근이 가능하게 만들었습니다. 이러한 결함을 발견한 후 연구자들은 악의적인 확장 프로그램을 만들어 CircleCI라는 대중적인 코딩 플랫폼의 토큰을 훔치는 실험을 했습니다. 이렇게 훔쳐낸 토큰들은 복호화 되어야하고, 이 과정에 사용된 암호화 알고리즘은 AES-256-GCM으로, 연구자들은 이 알고리즘을 이용해 키를 쉽게 재생성할 수 있었습니다.

사이코드의 연구원들이 리포팅한 이 문제들에 대해, 마소는 이미 2개월 전에 인지하고 있었지만, 이 보안 결함을 문제로 보지 않고 VS Code의 비밀 저장소 관리 프레임워크의 디자인을 그대로 유지하기로 결정했습니다. VS Code에 대한 연구 결과를 디테일하게 알려주었음에도 마소의 엔지니어들은 이를 시정하지 않았습니다.

요약

- 사이코드 연구원들이 Microsoft의 Visual Studio Code(VS Code)에 보안 결함을 발견했음
- VS Code의 '비밀 저장소' 인증 토큰은 모든 확장 프로그램, 악의적인 것들까지도 접근이 가능하게 만들었음
- 사이코드의 연구원들이 리포팅한 이 문제들에 대해, 마소는 이미 2개월 전에 알고 있었음에도 VS Code의 비밀 저장소 관리 프레임워크의 디자인을 그대로 유지하기로 결정했음

Reference

https://www.bleepingcomputer.com/news/security/malicious-extensions-can-abuse-vs-code-flaw-to-steal-auth-tokens/

※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.