5,000개 이상의 GitHub 레포를 감염시킨 공급망 공격의 배후는?
Megalodon으로 명명된 공급망 공격이 5,000개 이상의 GitHub 레포지토리를 감염시킴
공격은 GitHub Actions의 취약점을 악용하여 CI/CD 워크플로우에 악성 페이로드를 주입
감염된 계정의 33% 이상이 인포스틸러(Infostealer) 감염과 직접적인 연관성을 보임
Hudson Rock의 분석 결과, 실제 감염 계정 비율은 100%에 육박할 것으로 추정
Megalodon 공격의 기술적 분석
Megalodon 캠페인은 GitHub Actions의 취약한 브랜치 보호 설정을 악용하여 공격을 수행했다. 공격자는 Base64로 인코딩된 페이로드(Payload)를 CI/CD 워크플로우에 삽입하여, AWS 키, GCP OAuth 토큰, SSH 개인 키, GitHub OIDC 토큰 등 런너(Runner)가 접근 가능한 모든 비밀 정보(Secret)를 탈취했다. 특히, 공격에 사용된 계정들이 인포스틸러에 감염된 컴퓨터에서 유출된 것으로 밝혀졌다.
인포스틸러(Infostealer) 감염과 공급망 공격의 연관성
Hudson Rock의 분석에 따르면, Megalodon 공격에 사용된 GitHub 계정의 33% 이상이 인포스틸러에 감염된 컴퓨터와 직접적인 연관성을 보였다. 사용자 이름(Username)과 이메일 주소를 교차 검증한 결과, 실제 감염 비율은 100%에 육박할 것으로 추정된다. 이는 개발자 PC의 정보 유출(Data Breach)이 GitHub 공급망 공격의 주요 원인임을 시사한다.
Shai Hulud 프레임워크의 영향
TeamPCP가 오픈소스로 공개한 Shai Hulud 프레임워크는 공격자들이 손쉽게 공급망 공격을 수행할 수 있는 기반을 제공했다. 이 프레임워크는 자격 증명 수집(Credential Harvesting) 및 공급망 공격을 위한 청사진 역할을 했다. Datadog Security Labs의 분석에 따르면, Shai Hulud의 공개는 Megalodon과 같은 공격의 확산을 가속화하는 결정적인 요인으로 작용했다.
Hudson Rock의 공급망 모니터링 기능
Hudson Rock는 인포스틸러 감염으로 인한 GitHub 자격 증명(Credential) 유출을 감지하는 새로운 공급망 모니터링 기능을 출시했다. 이 기능을 통해 24,000개 이상의 기업에서 GitHub 자격 증명이 유출되었음을 확인했다. 특히, Anheuser-Busch InBev, Accenture 등 대규모 기업의 GitHub 계정(GitHub Account)이 위험에 노출된 사례가 확인되었다. 이는 공급망 보안의 중요성을 강조한다.
