GitHub, 악성 `VS Code` 확장으로 저장소 3,800개 침해 확인

GitHub confirms 3,800 repositories compromised via malicious `VS Code` extension

직원 PC 하나가 내부 코드 접근점이 됐다. VS Code 확장도 공급망 리스크라서, 설치된 확장·권한·게시자 점검은 지금 바로 할 만함.

[ 요점 ]

직원 1명이 트로이목마화된 VS Code 확장을 설치한 뒤 내부 저장소 약 3,800개가 침해됐다.
현재 평가는 유출 범위를 내부 저장소로 제한한다. 그래도 개발자 엔드포인트는 시크릿·소스·컨텍스트가 한곳에 모이는 고위험 지점.
GitHub는 해당 확장을 VS Code Marketplace에서 제거했고, 감염 엔드포인트를 격리한 뒤 사고 대응에 들어갔다.
당장 할 일은 단순하다. 안 쓰는 IDE 확장 제거, 게시자 확인, 권한 검토, 업무용 프로필과 실험용 프로필 분리.

원문news.hada.io/topic?id=29731원문 보기 →

// related

#0001
#0001에이전트·도구 Claude Code Releases4시간 전
`Claude Code` `v2.1.146`, 코드 리뷰 명령과 백그라운드 세션 안정화
`Claude Code` `v2.1.146` tightens code review and background sessions
50radar
Claude Code터미널 코딩 에이전트 — Claude 기반 코드 수정 자동화
작은 릴리스지만 에이전트 실행 중 자주 거슬리던 실패 지점을 꽤 많이 줄였다. Windows·MCP·멀티에이전트 환경을 쓰면 바로 업데이트할 만함.
- /simplify가 /code-review로 바뀌고 high 같은 effort 레벨을 받는다. 반복 리뷰 워크플로우에서 의도가 더 명확해짐.
- MCP resources/list, resources/templates/list, prompts/list가 1페이지 뒤 항목을 누락하지 않는다. 큰 MCP 서버 연동 안정성이 올라갔다.
- Windows 쪽은 pwsh 실행 실패, 터미널 스트로빙, NTFS junction cleanup, GNOME 붙여넣기까지 수정됐다. CLI 마찰이 줄어듦.
- CLAUDE_CODE_SUBAGENT_MODEL이 멀티에이전트 자식 프로세스에 전달된다. 서브에이전트별 모델 라우팅이 덜 깨진다.
- 자동 업데이트는 일시적 네트워크 실패를 재시도하고, 큰 파일 수정 diff 렌더링도 빨라졌다. 매일 쓰는 도구 안정성 개선.
출처: github.com/anthropics/claude-code/releases/tag/v2.1.146원문 보기 →
FIG-0011:1
50radar
FIG-0011:1
#0002
#0002에이전트·도구 GeekNews5시간 전
Google Cloud, `Antigravity 2.0` 중심 에이전트 개발 도구 개편
Google Cloud revamps agent development with `Antigravity 2.0`
70radar
Antigravity에이전트 개발 도구 — 로컬 프로토타입과 클라우드 연계
로컬 프로토타입부터 클라우드 운영까지 한 흐름으로 묶는 방향이다. Managed Agents API가 배포·실행 관리를 줄여주면 바로 추적할 만함.
- Antigravity 2.0과 Managed Agents API가 통합 개발 키트로 묶였다. 단순 데모보다 개발 플로우 재설계에 가깝다.
- 로컬 환경에서 빠르게 만들고 Google Cloud에서 관리형으로 돌리는 구조. 오케스트레이션 코드를 줄일 여지가 있다.
- 본문만으로 가격, 런타임 제약, 벤더 락인 수준은 확인 불가. 당장 이전보다 베타 추적 대상에 가깝다.
출처: news.hada.io/topic?id=29718원문 보기 →
FIG-0021:1
70radar
FIG-0021:1
#0003
#0003에이전트·도구 r/ClaudeAI6시간 전
휴대폰으로 `Claude Code` 바이브 코딩할 때 지키는 운영 규칙
Rules for running phone-first vibe coding with `Claude Code`
50radar
Claude CodeAI 코딩 에이전트 — 터미널에서 코드 수정·실행 자동화
코드를 안 읽는 방식도 계획 검토, 작은 단위, git 커밋, 테스트, DB 백업을 강제하면 꽤 통제 가능하다. 에이전트 활용 습관으로 바로 베껴볼 만함.
- Plan mode가 사실상 품질 게이트. 모호한 항목은 구현 전에 되묻고, 나쁜 판단이 코드 전체로 번지는 걸 막는다.
- 이해하기 어려운 계획은 작업이 너무 크다는 신호. 더 작은 청크로 쪼개면 리뷰와 롤백 부담이 줄어든다.
- 계획 완료마다 git 커밋을 남기면 코드 상태는 되돌릴 수 있다. 단, DB 변경은 별도 백업이 필요.
- 테스트 코드는 몰라도 테스트 케이스 목록은 읽어야 한다. 정상값, 음수, 누락값처럼 기대 동작을 먼저 고정한다.
- 복잡한 변경은 서브에이전트로 계획 비판, 보안 리뷰, 테스트 감사를 분리. 사람 검토 지점을 늘리는 방식이다.
출처: www.reddit.com/r/ClaudeAI/comments/1tj2i90/im_a_software원문 보기 →
50radar
PHOTO
FIG-0031:1

GitHub, 악성 `VS Code` 확장으로 저장소 **3,800개** 침해 확인

// related

`Claude Code` `v2.1.146`, 코드 리뷰 명령과 백그라운드 세션 안정화

Google Cloud, `Antigravity 2.0` 중심 에이전트 개발 도구 개편

휴대폰으로 `Claude Code` 바이브 코딩할 때 지키는 운영 규칙

GitHub, 악성 `VS Code` 확장으로 저장소 3,800개 침해 확인