Shai-Hulud 웜이 그 어느 때보다 강력하고 자동화되어 돌아왔습니다
사이버보안 전문 정보
보안 연구원과 당국은 공격자가 거의 500npm(node.js 패키지 관리자) 소프트웨어 패키지에 주입하여 GitHub의 26,000개 이상의 오픈 소스 저장소를 노출시키는 자가 복제 웜과 관련된 새로운 공급망 공격에 대해 경고하고 있습니다. Aikido Security의 보안 연구원인 Charlie Eriksen이 일요일 늦게 처음 발견한 트로이 목마화된 npm 패키지는 금요일부터 3일 동안 업로드되었으며 이전에 9월 npm 패키지를 감염시킨 악성 코드인 Shai-Hulud의 새로운 버전을 참조합니다. 캠페인은 계속 활성 상태로
핵심 특징
고품질
검증된 정보만 제공
빠른 업데이트
실시간 최신 정보
상세 분석
전문가 수준 리뷰
상세 정보
핵심 내용
보안 연구원과 당국은 공격자가 거의 500npm(node.js 패키지 관리자) 소프트웨어 패키지에 주입하여 GitHub의 26,000개 이상의 오픈 소스 저장소를 노출시키는 자가 복제 웜과 관련된 새로운 공급망 공격에 대해 경고하고 있습니다. Aikido Security의 보안 연구원인 Charlie Eriksen이 일요일 늦게 처음 발견한 트로이 목마화된 npm 패키지는 금요일부터 3일 동안 업로드되었으며 이전에 9월 npm 패키지를 감염시킨 악성 코드인 Shai-Hulud의 새로운 버전을 참조합니다. 캠페인은 계속 활성 상태로 유지되며 추가 저장소를 손상시키는 반면 다른 저장소는 제거되었습니다. 연구원들은 악성코드가 훔친 자격 증명으로 인한 다운스트림 공격을 관찰하지 못했습니다. “그러나 이러한 자격 증명은 GitHub에 공개적으로 노출되었기 때문에 여러 위협 행위자가 이미 해당 자격 증명에 액세스했거나 곧 액세스할 가능성이 높습니다
상세 분석
. 이로 인해 아직 대규모로 나타나지 않았더라도 다운스트림 악용 가능성이 크게 높아집니다.”라고 Eriksen은 CyberScoop에 말했습니다. 악성 코드는 훔친 npm 토큰을 사용하여 이전 버전보다 훨씬 더 높은 자동화 및 규모 수준으로 추가 패키지를 감염시키는 등 빠르게 전파되고 있으며 자급자족에 가까워지고 있다고 Eriksen은 덧붙였습니다. Wiz에 따르면 Zapier, ENS Domains, PostHog 및 Postman을 포함한 주요 패키지가 트로이 목마에 감염되어 공격자가 훔친 피해자 데이터로 GitHub 저장소를 채울 수 있다고 합니다. 일부 패키지는 클라우드 및 코드 환경의 약 27%에 존재한다고 보안 회사는 월요일 블로그 게시물에서 밝혔습니다. Wiz의 위협 연구원인 Merav Bar는 CyberScoop에 “우리는 이러한 트로이 목마 패키지가 npm에서 제거되기 전에 다운로드된 여러 환경을 관찰했는데, 이는 실제 노출이 활발하다는 것을 의미합니다.”라고 말했습니다.
정리
“과거 공격에서 보았듯이 초기 공격자와 기회 공격자 모두에서 노출을 악용하는 롱테일을 볼 수 있을 것으로 예상됩니다.” Bar는 이전과 현재의 Shai-Hulud 공격이 더 깊은 공급망 손상에 사용할 수 있는 개발자 비밀을 훔치는 데 초점을 맞춘 것으로 보인다고 덧붙였습니다. “Shai-Hulud의 두 물결은 공격자가 신뢰할 수 있는 배포 경로를 무기화하고, 대규모로 악성 버전을 푸시하고, 누군가가 뭔가 잘못되었다는 사실을 깨닫기도 전에 수천 명의 다운스트림 개발자에게 접근하는 것이 얼마나 쉬운지를 보여줍니다.”라고 그녀는 말했습니다. 최신 Shai-Hulud 캠페인의 시기도 기회주의적이었습니다. GitHub가 2020년에 인수한 회사인 npm이 보다 엄격한 보안 관행을 광범위하게 도입하려는 노력의 일환으로 클래식 토큰을 철회할 계획을 세우기 불과 몇 주 전에 리포지토리를 공격했습니다. “이러한 보안 조치가 취해지면 이 캠페인은 상당히 제한될 것입니다.
자주 묻는 질문
Q. 어떤 정보를 제공하나요?
A. 사이버보안 관련 최신 정보를 제공합니다.
Q. 신뢰할 수 있나요?
A. 검증된 출처만 선별합니다.
Q. 더 궁금한 점은?
A. 댓글로 문의하세요.
원문 출처
이 글은 원본 기사를 참고하여 작성되었습니다.