뉴스 2026년 5월 20일 · 수정: 2026년 5월 31일

GitHub 내부 코드베이스가 해킹됐다 — VS Code 확장 프로그램이 문제였다

2026년 5월 19일, GitHub이 공식 확인했다. 내부 코드 저장소 3,800여 개가 해킹됐다.

원인은 뜻밖에도 VS Code 확장 프로그램이었다. X에서는 “18분 만에 이 정도 피해가 가능하다는 게 충격”이라는 반응이 쏟아졌고, VS Code 확장 프로그램 보안에 대한 논의가 급증했다.

어떻게 털렸나?

Nx Console이라는 VS Code 확장 프로그램이 악성 버전으로 교체됐다. 버전 번호는 18.95.0. 설치 수 220만 개, 검증된 게시자 배지까지 달린 확장이었다.

이 악성 버전이 VS Code Marketplace에 올라가 있던 시간은 단 18분 (2026년 5월 18일 UTC 12:30 ~ 12:48). 그 18분 사이에 GitHub 직원 중 한 명의 기기가 감염됐고, 그 기기를 통해 내부 저장소 접근 권한을 탈취당했다.

공격의 출발점은 TanStack npm 패키지 공급망 침해였다. 공격자가 TanStack 패키지를 통해 Nx 개발자 계정 자격 증명을 먼저 탈취했고, 그 권한으로 Nx Console 배포판에 악성 코드를 심었다. 전형적인 다단계 공급망 공격이다. CVE-2026-48027(CVSS 9.3)이 발급됐고, CISA는 5월 27일 Known Exploited Vulnerabilities 카탈로그에 등재했다.

뭘 훔쳐갔나?

이 악성 확장 프로그램은 정보를 빼가는 도구였다. 구체적으로:

1Password 비밀번호 vault
Claude Code 설정 파일 — 개발 환경 정보 포함
npm 인증 토큰
GitHub 토큰
AWS 자격 증명

해킹 그룹의 요구사항은?

TeamPCP라는 그룹이 배후를 자처하며 훔친 데이터에 대해 **5만 달러(약 6,700만 원)**를 요구하고 있다.

내 정보는 괜찮나?

GitHub은 “고객 데이터에는 영향이 없다”고 밝혔으며, 피해는 GitHub 내부 저장소에 한정된 것으로 조사 중이다.

“많이 쓰는 확장이면 안전하다”는 가정이 이번에 완전히 깨졌다. 인기 확장이라도 업데이트 직후엔 변경 내용을 확인하는 게 좋다.