공급망 공격 악성코드 ‘샤이 훌루드’
개발자 단말 노려 깃허브 계정·저장소 탈취

[보안뉴스 여이레 기자] 클라우드 SIEM(보안 정보 이벤트 관리) 전문기업 로그프레소가 최근 급증하는 ‘샤이 훌루드’(Shai-Hulud) 공급망 공격에 대해 국내 개발자들에게 각별한 주의를 당부했다.

28일 로그프레소에 따르면, 샤이 훌루드는 프랭크 허버트의 소설 ‘듄’에 등장하는 사막 벌레에서 이름을 딴 악성코드로, 감염된 개발자 환경을 이용해 다른 소프트웨어 패키지에 스스로를 복제하는 공급망 기반 웜이다.



로그프레소 측은 “최근 소프트웨어 공급망 공격의 위협이 급격히 증가하는 가운데, NPM 생태계를 노린 샤이 훌루드 웜의 대규모 공격이 연이어 확인되고 있다”고 설명했다. 현재까지 감염된 NPM 패키지는 700여 개, 무단으로 생성 또는 침해된 깃허브 저장소는 2만5000 곳을 넘어선 것으로 파악됐다.

샤이 훌루드 악성코드는 정상 NPM 패키지로 위장해 개발자 PC에 침투한 뒤, 크리덴셜과 각종 토큰을 수집해 무단으로 깃허브에 업로드하고, 감염된 NPM 패키지를 꾸준히 게시하며 확산한다.

로그프레소는 깃허브에 ‘Sha1-Hulud: The Second Coming.’이라는 설명 문구가 포함된 퍼블릭 저장소가 있거나, NPM 패키지 설치 후 비정상 동작이 감지되면 샤이 훌루드 감염을 의심해야 한다는 등 즉각적인 보안 조치를 권고했다.

공격이 의심되는 경우 개발자들은 깃허브의 개인 액세스 토큰(PAT)을 즉시 폐기하고, 생성된 퍼블릭 저장소 중 본인이 만들지 않은 것은 삭제해야 한다. 최근 설치된 NPM 패키지를 점검해 악성 패키지를 제거하고, 감염된 패키지가 등록된 경우 NPM 레지스트리에서 삭제하는 조치도 필요하다. 특히 조직 환경에서는 깃허브 감사 로그를 통해 비정상 행위를 탐지하는 등 면밀한 점검이 요구된다.

로그프레소는 자사 블로그를 통해 샤이 훌루드의 감염 경로, 크리덴셜 탈취 방식, 깃허브 자동 업로드 동작 등을 분석한 기술 리포트와 대응 가이드를 공개했다.

아울러 깃허브 감사 로그를 수집해 비인가 저장소 생성을 탐지할 수 있도록 지원하고, 엑소스피어와 협력해 엔드포인트-깃허브-클라우드 간 연계 대응 체계도 강화하고 있다.

로그프레소는 앞으로도 개발자와 조직이 공급망 공격 위협에서 안전할 수 있도록 신속한 분석 정보 및 대응 가이드를 제공하고, 탐지·대응 규칙을 지속적으로 업데이트할 계획이다.

양봉열 로그프레소 대표는 “이번 공격은 개발자가 인지하지 못하는 사이에 자동 확산·계정 탈취가 이뤄져 매우 위험하다”며 “오픈 소스를 활용하는 기업들은 공급망 공격에 대한 경각심을 갖고 보안 대응 체계를 강화해야 한다”고 강조했다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>