공격자들이 나날이 진화한다. 깃허브에서도 이런 점이 눈에 띈다. 이제 개발자들의 방어력이 진화할 차례이다. 좀 더 알리고, 좀 더 교육하고 좀 더 협업하도록 만드는 게 중요하다.
[보안뉴스 문가용 기자] 아직 신원을 정확히 알 수 없는 한 해킹 조직이 복잡한 공급망 공격을 깃허브에서 진행했다는 사실이 밝혀졌다. 공격 대상은 깃허브를 적극 사용하는 개발자와 개발사들인 것으로 분석됐다. 공격자들은 훔친 쿠키들을 활용해 깃허브 계정을 탈취했고, 인증된 커밋들을 통해 악성 코드를 퍼트렸으며, 가짜 파이선 미러를 생성했다. 또한 감염된 패키지들을 PyPI 레지스트리에 공개하기도 했다.
[이미지 = gettyimagesbank]
보안 업체 체크막스(Checkmarx)의 소프트웨어 공급망 보안 책임자 조세프 하루시 카두리(Jossef Harush Kadouri)는 “공격자들은 다양한 전략과 전술을 구사했고, 이를 통해 탐지를 회피하고 공격 성공률을 크게 높일 수 있었다”며 “동시에 방어도 까다롭게 만들었다”고 설명한다.
체크막스는 자사 블로그를 통해 “공격자들이 가짜 파이선 미러 도메인과, 아주 그럴듯한 타이포스쿼팅 전략을 혼합해 구사함으로써 정식 도메인과 거의 똑같아 보이는 도메인을 만들어 사용자들을 속이고 있다”고 설명했다. 그리고 1억 5천만 회 이상 다운로드 된 인기 파이선 패키지인 컬러라마(Colorama)와 같은 유명 패키지들을 악용하여 악성 코드를 숨기고 있기도 하다. 즉 공격이 깃허브 내부로 한정되어 있지 않다는 것이다.
“또한 공격자들은 널리 알려진 깃허브 Top.gg 계정들도 활용하여 악성 커밋들을 주입하고, 자신들의 행위들을 숨기거나 의심스럽지 않게 꾸밉니다.” 참고로 Top.gg에는 17만 명의 사용자들이 있는 것으로 현재까지 알려져 있다.
데이터 탈취
이런 다양한 방법들을 총동원해 피해자들을 속이는 데 성공한 공격자들이 결국 이루고자 하는 건 민감한 정보의 탈취였다. 이들이 위의 여러 가지 방법으로 전파한 악성 코드들은 피해자들로부터 각종 정보를 훔쳐냈다. 오페라, 크롬, 에지와 같은 유명 브라우저들로부터 쿠키, 자동 채우기 정보, 크리덴셜 등을 가져갔다. 디스코드 계정들과 복호화 된 토큰들을 훔치기도 했다.
뿐만 아니라 암호화폐 지갑 주소와 크리덴셜, 텔레그램 세션 정보, 인스타그램 프로파일 정보도 훔쳐갔다. 훔쳐간 세션 토큰을 통해 계정 세부 내용을 추가로 가져간 뒤, 키로거 멀웨어를 활용해 키스트로크를 따가기도 했는데, 이는 비밀번호나 지인들과의 채팅 내용을 훔쳐가기 위한 것으로 분석됐다.
다양한 정보들을 훔쳤는데, 이 정보들을 공격자들은 어떻게 가져갔을까? 이 때에도 다양한 방법이 동원됐는데 주로 익명으로 파일을 공유할 수 있게 해 주는 플랫폼이 활용됐다. 익명 HTTP 요청이 가능한 곳에서는 그런 방법도 활용했다. 이 때 공격자들은 각 피해자들에게 고유 식별 번호를 부여함으로써 개별적인 추적도 가능하게 했다.
탐지를 회피하기 위해 공격자들은 세심한 난독화 기술도 도입해 활용했다. 변수 이름을 의도적으로 엉뚱하게 붙인다든가, 여백을 조작한다든가, 시스템 레지스트리를 조작한다든가 하는 식이었다. 또한 공격 지속성을 확보해 시스템에 꾸준히 드나들면서 여러 소프트웨어 애플리케이션들에서 데이터를 훔쳐내는 모습도 보였다.
하지만 이 공격은 오래 가지 않았다. 이렇게까지 다양하면서도 조심스럽게 움직이며 눈을 속이려 했지만 Top.gg 커뮤니티에 소속된 사람들이 수상한 것을 눈치챘기 때문이다. 그러면서 클라우드플레어(Cloudflare) 측에서도 이상한 것을 발견하고 남용되고 있는 도메인을 폐쇄시켰다. 그렇다고 이번 캠페인 자체가 완전히 사망한 것은 아니라고 체크막스는 보고 있다.
개발자들을 어떻게 보호해야 할까?
IT 보안 전문가들은 리포지터리에 새롭게 올라오는 코드 프로젝트들 혹은 추가된 코드들을 항상 점검해야 한다. 모든 것을 다 볼 수 없으니 관련이 있는 것, 꼭 사용해야 하는 것들은 반드시 점검하도록 해야 한다. 이를 규정으로 정해놓는 것도 좋지만, 동시에 왜 이런 꼼꼼함이 필요한지 지속적으로 교육하여 알리는 것도 필요하다. 특히 공급망 공격에 대해서는 요즘 크게 유행하고 있으므로 여러 번 교육하는 것도 좋다.
카두리는 “근본적으로 개발이라는 업무가 경쟁적으로 이뤄지지 않도록 분위기를 조성하는 게 중요하다”고 말한다. “개발자들끼리 혹은 부서들 간 경쟁을 붙이는 회사들이 있습니다. 그러면 안전 수칙이 무시될 수밖에 없습니다. 모두가 공동으로 일하고, 협업한다는 분위기에서는 안전이 좀 더 존중됩니다. 앞으로 공급망 공격은 중단되지 않을 것이므로 이런 근본적인 부분에서의 개선이 필요합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 아직 신원을 정확히 알 수 없는 한 해킹 조직이 복잡한 공급망 공격을 깃허브에서 진행했다는 사실이 밝혀졌다. 공격 대상은 깃허브를 적극 사용하는 개발자와 개발사들인 것으로 분석됐다. 공격자들은 훔친 쿠키들을 활용해 깃허브 계정을 탈취했고, 인증된 커밋들을 통해 악성 코드를 퍼트렸으며, 가짜 파이선 미러를 생성했다. 또한 감염된 패키지들을 PyPI 레지스트리에 공개하기도 했다.
[이미지 = gettyimagesbank]
보안 업체 체크막스(Checkmarx)의 소프트웨어 공급망 보안 책임자 조세프 하루시 카두리(Jossef Harush Kadouri)는 “공격자들은 다양한 전략과 전술을 구사했고, 이를 통해 탐지를 회피하고 공격 성공률을 크게 높일 수 있었다”며 “동시에 방어도 까다롭게 만들었다”고 설명한다.
체크막스는 자사 블로그를 통해 “공격자들이 가짜 파이선 미러 도메인과, 아주 그럴듯한 타이포스쿼팅 전략을 혼합해 구사함으로써 정식 도메인과 거의 똑같아 보이는 도메인을 만들어 사용자들을 속이고 있다”고 설명했다. 그리고 1억 5천만 회 이상 다운로드 된 인기 파이선 패키지인 컬러라마(Colorama)와 같은 유명 패키지들을 악용하여 악성 코드를 숨기고 있기도 하다. 즉 공격이 깃허브 내부로 한정되어 있지 않다는 것이다.
“또한 공격자들은 널리 알려진 깃허브 Top.gg 계정들도 활용하여 악성 커밋들을 주입하고, 자신들의 행위들을 숨기거나 의심스럽지 않게 꾸밉니다.” 참고로 Top.gg에는 17만 명의 사용자들이 있는 것으로 현재까지 알려져 있다.
데이터 탈취
이런 다양한 방법들을 총동원해 피해자들을 속이는 데 성공한 공격자들이 결국 이루고자 하는 건 민감한 정보의 탈취였다. 이들이 위의 여러 가지 방법으로 전파한 악성 코드들은 피해자들로부터 각종 정보를 훔쳐냈다. 오페라, 크롬, 에지와 같은 유명 브라우저들로부터 쿠키, 자동 채우기 정보, 크리덴셜 등을 가져갔다. 디스코드 계정들과 복호화 된 토큰들을 훔치기도 했다.
뿐만 아니라 암호화폐 지갑 주소와 크리덴셜, 텔레그램 세션 정보, 인스타그램 프로파일 정보도 훔쳐갔다. 훔쳐간 세션 토큰을 통해 계정 세부 내용을 추가로 가져간 뒤, 키로거 멀웨어를 활용해 키스트로크를 따가기도 했는데, 이는 비밀번호나 지인들과의 채팅 내용을 훔쳐가기 위한 것으로 분석됐다.
다양한 정보들을 훔쳤는데, 이 정보들을 공격자들은 어떻게 가져갔을까? 이 때에도 다양한 방법이 동원됐는데 주로 익명으로 파일을 공유할 수 있게 해 주는 플랫폼이 활용됐다. 익명 HTTP 요청이 가능한 곳에서는 그런 방법도 활용했다. 이 때 공격자들은 각 피해자들에게 고유 식별 번호를 부여함으로써 개별적인 추적도 가능하게 했다.
탐지를 회피하기 위해 공격자들은 세심한 난독화 기술도 도입해 활용했다. 변수 이름을 의도적으로 엉뚱하게 붙인다든가, 여백을 조작한다든가, 시스템 레지스트리를 조작한다든가 하는 식이었다. 또한 공격 지속성을 확보해 시스템에 꾸준히 드나들면서 여러 소프트웨어 애플리케이션들에서 데이터를 훔쳐내는 모습도 보였다.
하지만 이 공격은 오래 가지 않았다. 이렇게까지 다양하면서도 조심스럽게 움직이며 눈을 속이려 했지만 Top.gg 커뮤니티에 소속된 사람들이 수상한 것을 눈치챘기 때문이다. 그러면서 클라우드플레어(Cloudflare) 측에서도 이상한 것을 발견하고 남용되고 있는 도메인을 폐쇄시켰다. 그렇다고 이번 캠페인 자체가 완전히 사망한 것은 아니라고 체크막스는 보고 있다.
개발자들을 어떻게 보호해야 할까?
IT 보안 전문가들은 리포지터리에 새롭게 올라오는 코드 프로젝트들 혹은 추가된 코드들을 항상 점검해야 한다. 모든 것을 다 볼 수 없으니 관련이 있는 것, 꼭 사용해야 하는 것들은 반드시 점검하도록 해야 한다. 이를 규정으로 정해놓는 것도 좋지만, 동시에 왜 이런 꼼꼼함이 필요한지 지속적으로 교육하여 알리는 것도 필요하다. 특히 공급망 공격에 대해서는 요즘 크게 유행하고 있으므로 여러 번 교육하는 것도 좋다.
카두리는 “근본적으로 개발이라는 업무가 경쟁적으로 이뤄지지 않도록 분위기를 조성하는 게 중요하다”고 말한다. “개발자들끼리 혹은 부서들 간 경쟁을 붙이는 회사들이 있습니다. 그러면 안전 수칙이 무시될 수밖에 없습니다. 모두가 공동으로 일하고, 협업한다는 분위기에서는 안전이 좀 더 존중됩니다. 앞으로 공급망 공격은 중단되지 않을 것이므로 이런 근본적인 부분에서의 개선이 필요합니다.”
글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
