개발자가 AI 코딩 에이전트에서 패키지를 열 때 트리거되는 고급 자격 증명 도용 코드를 추가하기 위해 수십 개의 암호화로 검증된 Microsoft의 오픈 소스 패키지가 지난주 말 손상되었습니다.
여러 연구원들은 GitHub의 자동화 시스템이 플랫폼에서 패키지를 차단했을 때 전체적으로 73개의 패키지가 악성으로 표시되었다고 밝혔습니다. 마이크로소프트 소유의 GitHub는 이 패키지가 악의적이라는 점을 지적하기보다는(AI 에이전트를 사용하여 AI 에이전트를 사용하는 개발자는 자신의 시스템이 손상되었다고 가정해야 함) “GitHub의 서비스 약관 위반으로 인해” 패키지를 비활성화했다고 밝혔습니다. 이 텍스트는 패키지 소유자가 GitHub에 문의하도록 권장하는 내용으로 이어졌습니다.
개발자: 타협을 가정하고 그에 따라 진행
월요일이 되어서야 Microsoft는 패키지가 감염되었을 가능성도 제기했습니다. 이메일에서 회사는 “잠재적인 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 제거했습니다.”라고 밝혔습니다.
이번 사건은 공식 Microsoft 리포지토리 계정을 침해한 두 번째 공급망 공격입니다. 5월 중순, StepSecurity 회사는 PyPI에서 Microsoft의 내구성 작업 Python SDK의 손상을 문서화했습니다. 이 패키지는 분산 트랜잭션 및 기타 워크플로를 자동화하기 위해 내결함성 워크플로 및 오케스트레이션을 구축하기 위한 프레임워크입니다. 한 달에 400,000건의 다운로드를 받습니다.
손상 패키지는 AWS, Azure, GCP, Kubernetes, 비밀번호 관리자 및 90개 이상의 개발자 도구 구성에서 자격 증명을 훔치는 28KB 페이로드를 실행했습니다. 그런 다음 클라우드 인프라를 통해 측면으로 확산되어 다른 개발자 시스템을 감염시킵니다. TeamPCP로 추적된 위협 행위자와 연결된 이 공격은 패키지 게시를 위한 Microsoft 자격 증명을 손상시킨 후 내구성 작업 패키지를 감염시켰습니다. 이 기술을 사용하면 공격자는 저장소의 빌드 파이프라인을 완전히 우회할 수 있습니다.
공격에 사용된 악성코드는 미아즈마(Miasma)로 추적된다. 이는 본질적으로 위협 행위자가 최근 오픈 소스로 공개한 TeamPCP의 Mini Shai-Hulud 툴킷의 복제품입니다. 보안 회사인 클라우드스미스(Cloudsmith)는 이 악성코드가 소프트웨어 무결성에 대한 암호화 서명 보증을 제공하는 방법인 SLSA(Supply-Chain Levels for Software Artifacts) 출처 증명에 사용되는 OIDC(OpenID-Connect) 토큰 자격 증명을 수집한다고 밝혔습니다.
Microsoft의 지속성 작업에 대한 5월 손상의 경우와 마찬가지로 지난 주에는 합법적인 Microsoft OIDC 토큰을 훔치는 기능을 사용했습니다. 또한 수십 개의 Red Hat 패키지를 중독시키는 별도의 공급망 공격에도 사용되었습니다.
관련 정보는 아래 링크에서 확인하세요