해커 그룹, 악성 개발자 플러그인을 통해 3,800개의 내부 GitHub 저장소 공격 — TeamPCP, 소스 코드 탈취 및 5만 달러 판매

GitHub은 오늘 X(구 트위터) 게시물을 통해, 직원의 기기가 악성 Visual Studio Code (VS Code) 확장 프로그램에 의해 침해됨에 따라 수천 개의 내부 저장소 (repositories)가 유출되었음을 공식적으로 확인했습니다. 회사 측은 어제 해당 사건을 감지하고 격리했으며, VS Code Marketplace에서 오염된 확장 프로그램 버전을 제거하고, 영향을 받은 엔드포인트 (endpoint)를 격리했으며, 즉시 내부 사고 대응 조사를 시작했다고 밝혔습니다.

이번 공개는 이번 주 초 해커 그룹인 TeamPCP가 사이버 범죄 포럼인 Breached에 이번 침해 사고를 통해 약 4,000개의 비공개 GitHub 저장소에 접근했다고 게시한 주장에 뒤이어 나온 것입니다.

해당 그룹은 내부 소스 코드 및 기타 개인 데이터를 유출했다고 주장하며, 탈취한 자료에 대해 잠재적 구매자로부터 최소 5만 달러를 요구하고 있다고 밝혔습니다. 그룹은 게시물에 "이것은 랜섬 (ransom)이 아니다"라고 적었으며, GitHub을 직접 협박하기보다는 데이터를 판매할 의도가 있다고 덧붙였고, 구매자가 나타나지 않을 경우 저장소를 공개적으로 유출하겠다고 위협했습니다.

GitHub의 현재 평가에 따르면, 해당 활동은 GitHub 내부 저장소의 유출에만 국한되었으나, 회사는 공격자들이 주장하는 약 3,800개의 저장소 접근에 대한 내용이 현재까지 발견된 조사 결과와 "방향성 측면에서 일치한다 (directionally consistent)"고 밝혔습니다. 또한 GitHub은 격리 노력의 일환으로 이미 중요한 비밀 정보 (secrets)와 자격 증명 (credentials)을 교체했으며, 로그를 계속 분석하고 추가 활동을 모니터링하고 있다고 말했습니다.

TeamPCP는 이전에 GitHub, PyPI, npm, Docker와 같은 플랫폼과 관련된 여러 주요 캠페인에 연루된 바 있습니다. 동시에, 악성 VS Code 확장 프로그램은 최근 몇 년 동안 침해 및 멀웨어 (malware) 전달을 위한 점점 더 효과적인 벡터 (vector)로 반복해서 등장하고 있습니다.

VS Code 확장 프로그램 (extensions)은 개발자의 작업 환경 내에 내장된 사실상의 실행 가능한 플러그인 (plugins)이며, 종종 로컬 파일, 터미널 (terminals), 인증 토큰 (authentication tokens) 및 클라우드 도구 (cloud tooling)에 대한 접근 권한을 가집니다. Microsoft와 확장 프로그램 게시자들이 다양한 보안 조치를 시행하고 있음에도 불구하고, 개발자들은 디버깅 (debugging), 자동화 (automation), AI 코딩 보조 (AI coding assistance) 및 워크플로 통합 (workflow integrations)을 위해 정기적으로 제3자 확장 프로그램을 설치하며, 이로 인해 해당 생태계는 악성 코드 (malware)를 합법적인 개발 도구로 위장하려는 공격자들에게 점점 더 매력적인 표적이 되고 있습니다.

GitHub의 사례에서는, 침해된 확장 프로그램이 공격자들에게 직원의 기기에 대한 발판 (foothold)을 제공하여 내부 저장소 (repositories) 및 엔지니어링 시스템에 대한 접근 권한을 부여한 것으로 보고되었습니다. 이것이 반드시 GitHub의 더 넓은 플랫폼이나 고객 저장소에 대한 무제한적인 접근을 의미하는 것은 아닙니다. 하지만 내부 저장소에는 배포 도구 (deployment tooling), 인프라 스크립트 (infrastructure scripts), 보안 워크플로 (security workflows), 내부 API (internal APIs) 및 미출시 제품 기능과 같은 가치 있는 운영 데이터가 포함될 수 있습니다. 또한 대형 기술 기업들은 일반적으로 인프라를 수천 개의 더 작은 저장소로 분할하여 관리하므로, "3,800개의 저장소"가 반드시 3,800개의 주요 독립 제품을 의미하는 것은 아닙니다.

Tom's Hardware의 최고의 뉴스 및 심층 리뷰를 이메일로 직접 받아보세요.

GitHub는 영향을 받은 내부 저장소 외부에 저장된 고객 데이터가 침해되었다는 증거는 없다고 밝혔으며, 현재 공개된 GitHub 저장소나 플랫폼 사용자의 비공개 저장소가 광범위하게 노출되었다는 징후는 없다고 전했습니다.

이번 사건은 최종 사용자(end users)를 직접 겨냥하기보다 개발자와 그들이 사용하는 도구를 표적으로 삼는 소프트웨어 공급망 공격 (software supply-chain attacks)의 물결이 거세지고 있음을 보여줍니다. 현대의 개발 생태계는 VS Code 확장 프로그램 (extensions), npm 패키지 (packages), PyPI 라이브러리 (libraries), Docker 컨테이너 (containers), 그리고 AI 보조 코딩 도구 (AI-assisted coding tools)를 포함한 제3자 구성 요소에 크게 의존하고 있으며, 이는 거의 모든 계층에서의 침해 (compromise)가 핵심 인프라를 노출시킬 수 있음을 의미합니다. 올해 초, 연구원들은 또한 GitHub 저장소와 VS Code 프로젝트 전반에 숨겨진 보이지 않는 유니코드 문자 (Unicode characters)를 사용하는 악성 패키지를 발견했으며, 이는 신뢰받는 개발자 생태계에 대한 남용이 증가하고 있음을 강조합니다.

Google 뉴스에서 Tom's Hardware를 팔로우하거나, 저희를 선호 소스로 추가하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요.

Etiido Uko는 빅테크 및 PC 산업의 최신 업데이트를 다루는 Tom's Hardware의 뉴스 기고자입니다. 그는 기계 공학자이자 9년 이상의 문서화 및 보고 경험을 가진 시니어 테크니컬 라이터 (senior technical writer)입니다. 그는 공학 및 기술의 모든 분야에 깊은 열정을 가지고 있으며, 가젯, 제조, 로보틱스, 자동차 및 항공우주 분야의 전문가입니다.