Skip to content

공식 NPM 채널을 통해 백도어된 수십 개의 Red Hat 패키지

Posted in tech

Shai-Hulud라고 불리는 이 웜은 지난 달 무료 오픈 소스로 공개된 악성 코드의 모든 특징을 갖고 있습니다. TeamPCP는 Shai-Hulud를 사용한 최초의 그룹이며, 악성 코드를 사용하여 가장 큰 공급망 공격을 수행한 해커에게 1,000달러를 지급하겠다고 약속하는 경쟁을 장려했습니다. TeamPCP는 또한 이전 공급망 공격의 배후에 있었습니다. 이제 웜이 다른 많은 위협 그룹의 손에 들어가 있으므로 공급망 공격이 더욱 증가할 수 있습니다.

악성코드는 코드 변경 사항의 구축, 테스트 및 배포를 자동화하여 더 빠르고 안정적인 소프트웨어 릴리스를 가능하게 하는 CI/CD(지속적 통합/지속적 전달) 시스템에 상당한 주의를 기울입니다. 월요일 공격에서 확산된 악성코드는 GitHub Actions OIDC(OpenID Connect)를 통해 공개되었으며, 이는 Red Hat의 CI/CD 파이프라인이 손상되었음을 나타냅니다. OIDC는 임시 자격 증명을 사용하여 클라우드 서비스와 상호 작용하도록 설계된 보안 조치입니다.

일단 설치되면 악성코드는 다른 조직의 CI/CD 자격 증명을 표적으로 삼습니다. Red Hat GitHub Actions OIDC의 손상은 직원의 컴퓨터를 감염시킨 이전 공급망 공격의 결과일 가능성이 높습니다.

이 게시물이 게시된 후 보낸 이메일에서 Red Hat은 악성 패키지를 제거했다고 밝혔습니다.

“패키지는 내부 개발용으로 엄격히 제한되어 있으며, 악성 코드는 console.redhat.com 시스템을 통해 고객이 소비할 수 있도록 게시된 적이 없습니다.”라고 이메일은 밝혔습니다. “조사가 진행되는 동안 고객이나 파트너 환경, Red Hat 프로덕션 시스템에 어떤 영향도 미치는지 확인하지 못했습니다.”

최근 다른 공급망 공격의 성공을 고려하면, 지난 36시간 동안 영향을 받은 패키지 중 하나를 건드린 사람은 누구나 자신의 워크스테이션, CI/CD 파이프라인, 클라우드 서비스 및 리포지토리에 대한 모든 자격 증명이 손상되었다고 가정해야 합니다. 즉, 직원들은 현재 하고 있는 일을 모두 중단하고 철저히 조사해야 합니다.

최근 Checkmarx를 강타한 공급망 공격에서 보안 회사는 책임 있는 당사자를 완전히 몰아내지 못했습니다. Checkmarx는 두 번 더 맞았습니다. 첫 번째 공격에 사용된 Checkmarx 자격 증명은 Trivy 소프트웨어 개발자에 대한 공급망 공격에서 나왔습니다. Checkmarx로 전환하고 초기 위반을 완전히 해결하지 못한 것은 이러한 보안 실패와 그에 따른 위험으로부터 완전히 복구하기가 어렵다는 것을 보여줍니다.

Socket과 Aikido에는 영향을 받는 Red Hat 패키지 목록과 잠재적으로 영향을 받는 개인이나 조직이 즉시 활용해야 하는 기타 손상 지표가 있습니다.

Red Hat 설명을 추가하기 위해 스토리가 업데이트되었습니다.

관련 정보는 아래 링크에서 확인하세요

공식 정보 바로가기

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다