GitHub 코파일럿 보안

커서, 윈드서프, 구글 안티그래비티와 같은 AI 개발 중심 IDE는 VSCode에서 상속된 구성 파일 결함으로 인해 공급망 공격의 위험에 노출되어 있습니다. 이 세 플랫폼은 모두 백만 명 이상의 사용자를 보유하고 있으며, 확장 기능에 대한 자동화된 추천 메커니즘이 있어 공격자가 이를 악용하여 OpenVSX 확장 기능 마켓플레이스를 오염시켜 개발자에게 악성 코드를 푸시할 수 있습니다. 이 취약점을 통해 공격자는 선언되지 않은 확장 프로그램 네임스페이스를 등록하고 악성 확장 프로그램을 업로드하여 기존의 소셜 엔지니어링 없이도 SSH 키, AWS 자격 증명 및 소스 코드 액세스 권한을 얻을 수 있습니다. 이 위험의 영향 표면은 개발자 도구 체인에서 새로운 공격 벡터를 강조하며 MITRE ATT&CK 프레임워크에 IDE 확장 프로그램이 공식적으로 포함되었음을 의미합니다.