ClickCease 공급망 공격 인셉션

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

공급망 공격 인셉션

조아오 코레이아

2023년 9월 26일 - 기술 에반젤리스트

리포지토리 해킹, 개발자가 시작한 공격, 라이브러리 변조, 도메인 하이재킹 등 다양한 형태의 공급망 공격이 있지만, 악성코드가 의도적으로 개발 소프트웨어를 찾아 빌드 중에 시스템의 다른 프로젝트를 감염시키는 공격은 다른 차원의 문제입니다.

 

최근의 사건은 아니지만, 이와 같은 공격에 대비하는 데 필요한 첨단 기술과 혁신을 완벽하게 보여줍니다. 다음 이야기는 GitHub 보안팀에서 작성한 보고서를 기반으로 하며, 여기에서 여기. 이 사건은 2020년 초에 발생했지만, 멀웨어가 관련 없는 다른 소프트웨어를 감염시키기 위해 예상치 못한 우여곡절을 겪었다는 점에서 당시와 마찬가지로 오늘날에도 흥미롭습니다.

 

오픈 소스 생태계의 위장된 위협

 

GitHub의 보안 인시던트 대응팀(SIRT)은 자신도 모르게 멀웨어에 감염된 오픈소스 프로젝트를 제공하는 리포지토리에 대한 경고를 받았습니다. "옥토퍼스 스캐너"라는 이름이 붙은 이 멀웨어는 NetBeans 프로젝트를 표적으로 삼고 백도어하도록 독특하게 설계되었습니다. 이 멀웨어는 빌드 프로세스와 그 결과 아티팩트를 사용하여 스스로를 전파했습니다.

 

간단히 설명해 보겠습니다. 감염된 리포지토리 중 하나에 포함된 코드를 복제하여 빌드할 때, 악성 코드는 설치된 NetBeans 설치를 적극적으로 검색합니다(NetBeans는 Java IDE, 통합 개발 환경입니다). 악성 코드가 발견되면 NetBeans 내에서 빌드된 다른 프로젝트의 빌드 프로세스에 자신을 통합하여 모든 빌드 소프트웨어에 자신(악성 코드)을 포함시킵니다. NetBeans는 개발자 도구이므로, 발견되면 자연스럽게 여러 다른 Java 애플리케이션에 대한 코드를 작성하고 빌드하는 데 사용되며, 이제 각 애플리케이션에 악성 코드가 포함될 것입니다.

 

이 발견은 멀웨어의 존재뿐만 아니라 잠재적인 영향력 때문에 더욱 놀라웠습니다. 영향을 받은 리포지토리는 오픈 소스였기 때문에 모든 개발자나 조직이 무의식적으로 감염된 코드를 복제하여 애플리케이션이나 시스템에 취약성을 도입할 수 있었습니다.

 

하지만 이것이 Java 개발자에게는 어떤 영향을 미칠까요?

 

기본 메시지: 안전한 공급망의 필요성

 

Java 개발자는 사용하는 라이브러리와 종속성이 안전한지 어떻게 확인할 수 있는지 궁금할 것입니다. 옥토퍼스 스캐너 사건은 오픈소스 공급망 보안의 중요성을 강조합니다. 단순히 최신 CVE를 패치하는 것만이 능사가 아닙니다. 전체 소프트웨어 개발 및 배포 에코시스템의 무결성을 유지하는 것이 중요합니다.

 

입력 Java용 SecureChain. 필요한 모든 Java 종속 요소와 라이브러리를 검사하고 취약점을 스캔한 서비스를 상상해 보세요. 더 이상 라이브러리의 사용 안전 여부를 판단하기 위해 포럼을 뒤지거나 추측할 필요가 없습니다. Java용 Securechain은 Java 종속성을 위한 선별된 리포지토리를 제공하여 백도어나 알려진 취약점이 없는 라이브러리만 사용하도록 보장합니다.

 

문어 스캐너: 자세히 살펴보기

 

옥토퍼스 스캐너의 작동은 다방면으로 이루어졌습니다:

 

  • 식별 및 감염: 이 악성 코드는 사용자의 NetBeans 디렉터리를 식별하고 모든 프로젝트를 열거한 다음 프로젝트 파일과 빌드 JAR 파일에 악성 페이로드를 삽입했습니다.
  • 지속성: 악성 페이로드는 NetBeans 프로젝트가 빌드될 때마다 실행되어 악성 코드의 전파를 더욱 확실하게 보장했습니다.
  • 미묘함: 다른 멀웨어와 달리 리포지토리 소유자가 백도어 코드를 커밋하고 있다는 사실을 전혀 인지하지 못했기 때문에 탐지 및 방어가 더욱 까다로웠습니다.
  • 유연성: 실행 시 페이로드와 명령 및 제어 소프트웨어 구성 요소를 모두 다른 애플리케이션의 JAR 파일에 드롭합니다. 따라서 악성코드 운영자는 대응책이 배포될 경우 감염된 시스템에 배포되는 내용을 변경할 수 있기 때문에 매우 다양하고 적응력이 뛰어납니다.

 

특히 Java 개발자를 노리는 고도로 표적화된 공격이었기 때문에 NetBeans가 발견되지 않으면 감염된 시스템에서 아무 작업도 수행하지 않습니다. 랜섬웨어나 이메일 피싱과 같이 의도한 피해자의 일부가 함정에 빠지기를 바라며 가능한 한 많은 대상을 노리는 다른 형태의 멀웨어 및 사이버 공격과 달리 공급망 공격은 최종 사용자가 조치를 취할 기회도 갖기 전에 공격합니다. 설치한 소프트웨어에 이미 백도어가 설치되어 있다면 아무리 많은 보안 도구를 사용해도 사용자를 보호할 수 없습니다.

 

도전에 맞서기

 

옥토퍼스 스캐너 사고를 처리하는 GitHub의 사전 예방적 접근 방식과 종속성의 취약성을 감지하기 위해 제공하는 도구는 오픈 소스 플랫폼이 어떻게 운영되어야 하는지에 대한 기준을 제시합니다. 하지만 개별 개발자와 조직도 코드 종속성에 대해 신뢰할 수 있는 소스를 사용함으로써 자신의 역할을 다해야 합니다.

 

정품 라이브러리와 백도어 사이의 경계가 점점 모호해짐에 따라 Java용 SecureChain과 같은 서비스의 필요성이 더욱 중요해졌습니다. 효율적인 코드를 작성하는 것뿐만 아니라 안전한 코드를 작성하는 것이 중요합니다.

 

최종 생각

 

옥토퍼스 스캐너 사건은 오픈소스 생태계에 존재하는 취약점을 보여주는 좋은 예입니다. 또한 이러한 공격이 얼마나 다양하고 고도화될 수 있는지를 보여줍니다. GitHub와 같은 플랫폼이 제 역할을 하고 있지만, 신뢰할 수 있고 검증된 소스에서 종속성을 소싱하는 것은 개발자의 몫입니다.

 

와 함께 Java용 SecureChain를 사용하면 사용하는 모든 라이브러리와 종속성에 취약점이 없음을 알고 자신 있게 Java 애플리케이션을 구축할 수 있습니다. 코드가 자유롭게 공유되는 세상에서 우리가 공유하는 것이 안전한지 확인합시다.

 

Java 프로젝트를 보호하세요. Java용 SecureChain을 신뢰하세요.

요약
공급망 공격 인셉션
기사 이름
공급망 공격 인셉션
설명
공급망 공격은 여러 가지가 있지만 멀웨어가 의도적으로 개발 소프트웨어를 찾는 공격은 다른 차원의 문제입니다. 자세히 보기
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기