본문 바로가기
보안뉴스

[보안 뉴스] 깃허브를 공략하는 해커...

by jh117jh 2024. 3. 27.
728x90

기사 제목 :깃허브 공략하는 공격자들, 빠르게 고도화되고 있다

날짜 : 2024-03-26

기자 : 문가용 기자

 

 

기사 내용

 아직 신원을 정확히 알 수 없는 한 해킹 조직이 복잡한 공급망 공격을 깃허브에서 진행했다는 사실이 밝혀졌다. 공격 대상은 깃허브를 적극 사용하는 개발자와 개발사들인 것으로 분석됐다. 

 

보안 업체 체크막스(Checkmarx)의 소프트웨어 공급망 보안 책임자 조세프 하루시 카두리(Jossef Harush Kadouri)는 “공격자들은 다양한 전략과 전술을 구사했고, 이를 통해 탐지를 회피하고 공격 성공률을 크게 높일 수 있었다”며 “동시에 방어도 까다롭게 만들었다”라고 설명한다.

 “공격자들이 가짜 파이선 미러 도메인과, 아주 그럴듯한 타이포스쿼팅 전략을 혼합해 구사함으로써 정식 도메인과 거의 똑같아 보이는 도메인을 만들어 사용자들을 속이고 있다”고 설명했다. 그리고 1억 5천만 회 이상 다운로드 된 인기 파이선 패키지인 컬러라마(Colorama)와 같은 유명 패키지들을 악용하여 악성 코드를 숨기고 있기도 하다. 

 

공격의 목적으로는 데이터 탈취가 있으며  오페라, 크롬, 에지와 같은 유명 브라우저들로부터 쿠키, 자동 채우기 정보, 크리덴셜 등을 가져갔다. 디스코드 계정들과 복호화 된 토큰들을 훔치기도 했다. 이때 다양한 방법이 동원됐는데 주로 익명으로 파일을 공유할 수 있게 해 주는 플랫폼이 활용됐다.

 

탐지를 회피하기 위해 공격자들은 세심한 난독화 기술도 도입해 활용했고 변수 이름을 의도적으로 엉뚱하게 붙인다든가, 여백을 조작한다든가, 시스템 레지스트리를 조작한다든가 하는 식이었다.

 

하지만 수상함을 눈치챈 Top.gg 소속의 사람들이 남용되고 있는 도메인을 폐쇄시켰지만 이번 캠페인 자체가 완전히 끝난 것은 아니라고 체크막스는 보고 있다.

 

IT 보안 전문가들은 리포지터리에 새롭게 올라오는 코드 프로젝트들 혹은 추가된 코드들을 항상 점검해야 한다. 모든 것을 다 볼 수 없으니 관련이 있는 것, 꼭 사용해야 하는 것들은 반드시 점검하도록 해야 한다고 말했다.

 

 

느낀점

깃허브는 개발자나 보안을 넘어 IT업계에 종사하는 대부분의 사람들이 한 번쯤은 사용해 봤을 전 세계적으로 유명한 플랫폼이다. 이를 넘어 다양한 세계 기업에서도 업무자간의 협업에 없어서는 안 될 플랫폼이다.

 

당장 나 자신만 생각해도 깃허브에 올라온 오픈소스 코드를 아무 의심 없이 다운로드하여 사용한 경험이 있다.

단지 유명한 플랫폼이고 사용자수도 많은 코드라는 이유로 아무 의심없이 다운로드한 것이다.

정보화 시대가 점차 발전하는 만큼 새로운 정보와 기능들을 쉽게 접하고 사용할 수 있다. 하지만 그 정보들을 의심하고 확인해야 될 필요도 점차 증가하는 것 같다. 이러한 사실들을 사용자들이 항상 숙지하고 있어야 하며 기업 측면에서도 빠른 대응을 해야 한다 생각한다.

 

 

https://www.boannews.com/media/view.asp?tab_type=1&idx=128196&page=1

 

깃허브 공략하는 공격자들, 빠르게 고도화 되고 있다

아직 신원을 정확히 알 수 없는 한 해킹 조직이 복잡한 공급망 공격을 깃허브에서 진행했다는 사실이 밝혀졌다. 공격 대상은 깃허브를 적극 사용하는 개발자와 개발사들인 것으로 분석됐다. 공

www.boannews.com

 

728x90