사용자들의 적극적인 참여 독려하는 AUR
누군가 패키지에 악성 코드 심어 올려...문제 크지 않지만 ‘포문’될까 염려
[보안뉴스 문가용 기자] 아치 리눅스(Arch Linux) 사용자가 참여하고 유지 및 보수하는 리포지토리인 AUR(Arch User Repository)에 대한 멀웨어 공격 사실이 이번 주 초 공개되었다.
[이미지 = iclickart]
이 리포지토리를 침해한 건 xeactor라는 이름으로 활동하는 AUR 사용자로 보이며, 감염 대상이 된 리포지토리는 아크로리드(acroread)라는 이름의 PDF 뷰어다. 아크로리드를 원래 유지하고 있던 사용자가 유지 및 보수 작업을 중단하면서 이 같은 일이 발생했다.
아크로리드 패키지가 마지막으로 수정을 거친 건 6월 7일의 일이다. 원래 사용자가 아니라 xeactor가 그 수정자였다. xeactor가 통제하는 서버로부터 악성 스크립트를 다운로드 받아 실행시키는 스크립트를 아크로리드에 추가한 것이다. 이 때문에 6월 7일 이후 아크로리드를 설치한 사람들은 원치 않는 멀웨어를 시스템에 보유하게 되었다.
실행된 스크립트에는 ID, CPU 세부 사항, 팩맨(패키지 관리 유틸리티) 정보, ‘uname -a’와 ‘systemctl list-units’를 실행했을 때의 결과 등 시스템에 대한 여러 가지 정보를 수집하는 기능을 가진 요소도 포함되어 있었다.
이 뷰어가 조작된 사실 자체는 7월 8일에 밝혀졌으며, 엘리 슈와츠(Eli Schwartz)라는 유지 및 보수 관리자가 아크로리드를 원래대로 복구시켰다. 또한 엘리 슈와츠는 xeactor라는 계정도 차단시켰으며, 조작이 의심되는 두 개의 패키지도 추가로 삭제했다. balz 1.20-3과 minergate 8.1-2였다.
아무래도 커뮤니티의 참여가 활발한 리포지토리이다보니 여러 사람들이 악성 스크립트를 분석했는데, 그중 일부는 “공격자가 경고를 의도한 것 같다”는 의견을 내놓기도 했다. “의도적으로 멀웨어가 시끄럽고 요란하게 작동하도록 코드가 짜여 있었습니다. 특히 루트에는 compromised.txt라는 파일도 생성되게끔 장치가 되어 있었는데, 파일 이름부터 너무 노골적이죠.”
하지만 공격자가 얼마든지 임의의 코드를 실행할 수 있도록 스크립트가 수정되어 있었으며, 그러므로 이는 악성 공격일 수밖에 없다는 의견이 지배적이다.
아치 리눅스 측의 지안카를로 라졸리니(Giancarlo Razzolini)는 외국 보안 매체인 시큐리티위크(SecurityWeek)와의 인터뷰를 통해 “공격 자체는 그리 심각하지 않았다”고 말했으나, “그렇다고 이것이 단순히 경고성 해프닝이라고 보기도 힘들다”고 밝혔다. “AUR 커뮤니티에서 패키지를 다운로드 받는 사람들은 다 악성 파일에 대한 위험을 이해하고 또 감수하고 있습니다. 새삼스럽게 경고할 필요는 없죠. 다만 이번 사건이 포문이 되어 더 많은 공격을 야기하지는 않을까가 걱정되긴 합니다.”
솔직히 말해 활짝 개방된 커뮤니티 분위기 속에서 이런 사건이 이제야 일어나고 또 화제가 되었다는 것이 기적같은 일이라고 라졸리니는 말한다. 또한 사용자들이 위험을 이해하고 있다고는 해도 안전 장치가 아주 없는 건 아니라고 덧붙였다. “사용자들에게 PKGBUILD를 다운로드 받아 검사한 후에 사용하라고 권장합니다. 하지만 대부분은 자동 다운로더나 헬퍼를 사용하긴 하죠. 그런 분위기가 만연해지면 분명 더 큰 문제가 발생할 것을 걱정하고 있습니다.”
한 편 또 다른 리눅스인 젠투(Gentoo)의 배포자들 역시 지난 달 말, 사용자들에게 젠투 깃허브 계정이 침해당하고, 젠투 리눅스에 악성 코드가 심겼다고 경고를 발송한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]
누군가 패키지에 악성 코드 심어 올려...문제 크지 않지만 ‘포문’될까 염려
[보안뉴스 문가용 기자] 아치 리눅스(Arch Linux) 사용자가 참여하고 유지 및 보수하는 리포지토리인 AUR(Arch User Repository)에 대한 멀웨어 공격 사실이 이번 주 초 공개되었다.
[이미지 = iclickart]
이 리포지토리를 침해한 건 xeactor라는 이름으로 활동하는 AUR 사용자로 보이며, 감염 대상이 된 리포지토리는 아크로리드(acroread)라는 이름의 PDF 뷰어다. 아크로리드를 원래 유지하고 있던 사용자가 유지 및 보수 작업을 중단하면서 이 같은 일이 발생했다.
아크로리드 패키지가 마지막으로 수정을 거친 건 6월 7일의 일이다. 원래 사용자가 아니라 xeactor가 그 수정자였다. xeactor가 통제하는 서버로부터 악성 스크립트를 다운로드 받아 실행시키는 스크립트를 아크로리드에 추가한 것이다. 이 때문에 6월 7일 이후 아크로리드를 설치한 사람들은 원치 않는 멀웨어를 시스템에 보유하게 되었다.
실행된 스크립트에는 ID, CPU 세부 사항, 팩맨(패키지 관리 유틸리티) 정보, ‘uname -a’와 ‘systemctl list-units’를 실행했을 때의 결과 등 시스템에 대한 여러 가지 정보를 수집하는 기능을 가진 요소도 포함되어 있었다.
이 뷰어가 조작된 사실 자체는 7월 8일에 밝혀졌으며, 엘리 슈와츠(Eli Schwartz)라는 유지 및 보수 관리자가 아크로리드를 원래대로 복구시켰다. 또한 엘리 슈와츠는 xeactor라는 계정도 차단시켰으며, 조작이 의심되는 두 개의 패키지도 추가로 삭제했다. balz 1.20-3과 minergate 8.1-2였다.
아무래도 커뮤니티의 참여가 활발한 리포지토리이다보니 여러 사람들이 악성 스크립트를 분석했는데, 그중 일부는 “공격자가 경고를 의도한 것 같다”는 의견을 내놓기도 했다. “의도적으로 멀웨어가 시끄럽고 요란하게 작동하도록 코드가 짜여 있었습니다. 특히 루트에는 compromised.txt라는 파일도 생성되게끔 장치가 되어 있었는데, 파일 이름부터 너무 노골적이죠.”
하지만 공격자가 얼마든지 임의의 코드를 실행할 수 있도록 스크립트가 수정되어 있었으며, 그러므로 이는 악성 공격일 수밖에 없다는 의견이 지배적이다.
아치 리눅스 측의 지안카를로 라졸리니(Giancarlo Razzolini)는 외국 보안 매체인 시큐리티위크(SecurityWeek)와의 인터뷰를 통해 “공격 자체는 그리 심각하지 않았다”고 말했으나, “그렇다고 이것이 단순히 경고성 해프닝이라고 보기도 힘들다”고 밝혔다. “AUR 커뮤니티에서 패키지를 다운로드 받는 사람들은 다 악성 파일에 대한 위험을 이해하고 또 감수하고 있습니다. 새삼스럽게 경고할 필요는 없죠. 다만 이번 사건이 포문이 되어 더 많은 공격을 야기하지는 않을까가 걱정되긴 합니다.”
솔직히 말해 활짝 개방된 커뮤니티 분위기 속에서 이런 사건이 이제야 일어나고 또 화제가 되었다는 것이 기적같은 일이라고 라졸리니는 말한다. 또한 사용자들이 위험을 이해하고 있다고는 해도 안전 장치가 아주 없는 건 아니라고 덧붙였다. “사용자들에게 PKGBUILD를 다운로드 받아 검사한 후에 사용하라고 권장합니다. 하지만 대부분은 자동 다운로더나 헬퍼를 사용하긴 하죠. 그런 분위기가 만연해지면 분명 더 큰 문제가 발생할 것을 걱정하고 있습니다.”
한 편 또 다른 리눅스인 젠투(Gentoo)의 배포자들 역시 지난 달 말, 사용자들에게 젠투 깃허브 계정이 침해당하고, 젠투 리눅스에 악성 코드가 심겼다고 경고를 발송한 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
