공급망 공격 전담 해커팀인 TeamPCP는 최근 코드 호스팅 플랫폼 GitHub의 핵심 소스 코드와 내부 조직 구조 정보를 판매한다는 내용의 광고를 공개했습니다. 해커그룹은 이번 거래가 협박이 아닌 독점 직거래였다고 주장했다. 물론 GitHub를 협박했다고 하더라도 데이터 기밀 유지의 대가로 해커에게 몸값을 지불할 가능성은 낮습니다.
TeamPCP는 샘플 데이터를 제공하지 않았으며 소스 코드 저장소와 관련 스크린샷이 포함된 디렉터리만 표시했다는 점은 주목할 가치가 있습니다. 이제 GitHub 관계자가 실제로 공격을 받았음을 확인했기 때문에 유능한 해커가 샘플 제공을 귀찮게 하지 않는다고 말할 수 있습니다. 사전 조사 결과 약 3,800개의 내부 저장소가 해커들에 의해 도난당한 것으로 확인됐다.
여러 핵심 기능이 포함된 소스 코드 저장소:
해커가 게시한 디렉터리와 스크린샷을 보면 해커가 훔친 데이터에는 GitHub Copilot, GitHub Enterprise Server, Red Team을 포함한 GitHub의 여러 핵심 기능에 대한 소스 코드 저장소는 물론 그래픽 사용자 인터페이스의 크로스 사이트 스크립팅 공격에 대한 취약성 관리, 위험 보고 및 완화 패치 저장소가 포함되어 있습니다. 또한 GitHub 운영 및 내부 통신을 위한 논리 채널과 같은 리포지토리도 도난당했습니다.
압축된 패키지 이름의 일부:
레이캐스트-github-copilot.tar.gz
chiedo-copilot-cli-skills.tar.gz
github-enterprise-server-release-notifier.tar.gz
github-보안-위험-보고.tar.gz
레드팀.tar.gz
github-ui-xss-hardening-research.tar.gz
github-india.tar.gz
repo-custom-claims-chatops.tar.gz
GitHub는 조사 후 데이터 유출을 확인했습니다.
GitHub는 사전 조사 후 데이터 유출을 확인했습니다. 공격의 근원은 GitHub 직원이 설치한 악성 코드가 포함된 Visual Studio Code 확장이었습니다. 이 확장은 TeamPCP 웜의 피해자일 가능성이 높습니다. 즉, 확장 개발자도 공격을 받았습니다. 그런 다음 해커는 훔친 자격 증명을 사용하여 악성 코드가 포함된 버전을 게시했습니다. 더 많은 개발자가 확장 프로그램의 악성 버전을 설치하면 해당 자격 증명도 도난당하게 됩니다.
위협을 감지한 후 GitHub는 즉시 악성 확장 프로그램 버전을 제거하고 직원의 장치를 격리했습니다. 비상 조치로 GitHub는 영향을 받을 수 있는 모든 주요 자격 증명을 즉시 교체했습니다. 그러나 웜의 잠재적인 위협을 고려하여 GitHub는 웜이 다른 시스템을 감염시키고 더 많은 자격 증명을 훔치는 것을 방지하기 위해 계속해서 로그를 분석하고 후속 활동을 모니터링해야 합니다.
마지막으로 GitHub는 약 3,800개의 내부 소스 코드 저장소가 도난당했음을 확인했습니다. GitHub는 이후 경험을 공유하기 위해 자세한 보안 조사 보고서를 발표할 예정입니다.