이벤트 스트림 패키지 보안 업데이트

Name: Visual Studio Code
Author: Microsoft

업데이트: 2019년 6월 23일

확장 프로그램 작성자들과 협력하여 확장 프로그램 및 종속성을 업데이트하도록 노력해 왔습니다.

차단된 확장 프로그램의 현재 목록은 다음과 같습니다.

JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
joaquin6.package-watch
KazuoCode.gthubsum
MaxGotovkin.tslens

2018년 11월 26일 Kai Maetzel, @kaimaetzel

인기 있는 이벤트 스트림 NPM 패키지에 악성 종속성이 포함되어 있다는 소식을 이미 들으셨을 수도 있습니다. 자세한 내용은 다음 GitHub 이슈에서 확인할 수 있습니다: https://github.com/dominictarr/event-stream/issues/116. 이 취약점은 약 2개월 동안 존재했지만 최근에야 발견되었습니다.

요약: Visual Studio Code는 업계 전반의 NPM event-stream 패키지 보안 문제에 영향을 받지 않았으며, VS Code Marketplace에서 해당 패키지에 영향을 받은 확장 프로그램을 일시적으로 제거하여 사용자 기반을 사전에 보호했습니다.

즉시 영향 여부와 방법을 확인했습니다. 먼저 Visual Studio Code를 스캔했습니다. Visual Studio Code의 제품 설치(안정 및 미리 보기 버전 모두)는 안전합니다.

둘째, VS Code Marketplace의 모든 확장 프로그램을 스캔했습니다. 여러 확장 프로그램이 영향을 받은 것으로 확인되었습니다. 사용자와 해당 확장 프로그램의 작성자를 보호하기 위해 공격적인 조치를 취하기로 결정하고 해당 확장 프로그램을 자동으로 제거했습니다. 사용자는 해당 확장 프로그램을 제거하기 위해 아무 조치도 취할 필요가 없습니다. 확장 프로그램은 Marketplace에서도 목록에서 제외됩니다.

스캔 당시 다음 확장 프로그램에 악성 코드가 포함되어 있었습니다.

aoisupersix.bve5-language-support
apollographql.vscode-apollo
ardenivanov.svelte-intellisense
ballerina.ballerina
BattleBas.kivy-vscode
cesium.gltf-vscode
christianvoigt.argdown-vscode
codemooseus.vscode-devtools-for-chrome
curlybracket.vlocode
ivory-lab.jenkinsfile-support
JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
joe-re.sql-language-server
jomiller.rtags-client
jorithvdheuvel.webdav
KazuoCode.gthubsum
kddejong.vscode-cfn-lint
Koihik.vscode-lua-format
myxvisual.vscode-ts-uml
OptimaSystems.vscode-apl-language-client
Paul-Ehigie-Paul.nativescript-extend
qoretechnologies.qorus-vscode
quantum.quantum-devkit-vscode
ritwickdey.LiveServer
rkoubou.ksp
roboceo.robojsx-plugin
salbert.comment-ts
SiteGo.spgo
terminus.tangram-vscode-plugin
tintrinh.php-refactor
tomoki1207.pdf
vlopes11.advpls-client
webhint.vscode-webhint
wix.stylable-intelligence
Yseop.vscode-yseopml
zfzackfrost.commentbars
Zowe.vscode-extension-for-zowe

영향을 받은 확장 프로그램 작성자들에게 연락하고 있습니다. 작성자들이 확장 프로그램을 업데이트하고 저희에게 통보하면 업데이트를 확인하겠습니다. 그때 Marketplace에서 확장 프로그램을 다시 설치할 수 있습니다.

확장 프로그램 작성자 참고: yeoman 코드 생성기로 확장 프로그램을 생성한 경우, 개발 종속성의 일부로 악성 코드를 설치했을 수 있습니다. node_modules 폴더를 삭제하고 npm cache clean --force로 npm 캐시를 정리한 후 npm install을 다시 실행하십시오.

확장 프로그램 작성자는 vscode 모듈을 1.1.22로 업데이트해야 합니다.

계속해서 알려드리겠습니다.

Kai Maetzel (Microsoft)