북한 해커들이 준비하는 데 몇 주가 걸린 공급망 공격으로 Axios를 하이재킹했다
널리 사용되는 프로젝트가 사이버 공격 벡터로 변모하다
북한의 사이버 작전이 웹에서 가장 널리 사용되는 오픈 소스 프로젝트 중 하나인 Axios를 3월 31일 공격에서 잠시 하이재킹했는데, 이 공격은 몇 주간 준비된 것으로 보인다. 이번 침해는 국가 지원 해커들이 신뢰할 수 있는 소프트웨어 인프라를 점점 더 많이 표적으로 삼고 있음을 강조한다. 이러한 인프라에서는 단 한 번의 침해로도 수천 개의 시스템에 파급 효과를 미칠 수 있다.
Axios는 개발자들이 애플리케이션을 인터넷에 연결하는 데 사용하는 인기 있는 JavaScript 라이브러리이다. 수많은 소프트웨어 빌드 내에 존재하기 때문에, 이 프로젝트의 침해는 프로젝트 자체를 훨씬 넘어선 결과를 초래할 수 있다. 이 경우, 악성 업데이트는 약 3시간 동안만 활성화되었다가 제거되었지만, 그 시간 동안에도 수천 개의 시스템을 감염시키기에 충분했을 수 있다.
이 공격은 프로젝트를 유지보수하고 침해의 타임라인을 설명한 Jason Saayman의 사후 분석 보고서에 기록되었다. Saayman에 따르면, 공격자들은 그의 컴퓨터를 장악하고 악성 코드를 게시하는 데 사용하기 약 2주 전부터 그를 표적으로 삼기 시작했다.
신뢰를 기반으로 한 장기 사기
이 작전은 무차별 대입 공격보다는 인내심에 의존했다. Saayman은 공격자들이 실제 회사인 척 가장하고, 설득력 있는 Slack 작업 공간을 만들었으며, 가짜 직원 프로필로 채워 속임수를 합법적으로 보이게 했다고 말했다. 그런 다음 그들은 그를 웹 회의에 초대했는데, 이 회의는 통화에 참여하기 위해 필요한 업데이트로 위장한 악성 프로그램을 다운로드하도록 유도했다.
Saayman은 이 유인책이 이전에 북한 해커들과 연관되어 Google 보안 연구원들이 식별한 기술과 일치한다고 말했다. 이는 공격자에게 원격 액세스를 제공하는 소프트웨어를 설치하도록 대상을 설득하는 사회 공학적 접근 방식이다. 이 경우, 해당 액세스가 악성 Axios 릴리스를 푸시하는 핵심이었던 것으로 보인다.
이 사건은 오픈 소스 유지보수 담당자들이 왜 그렇게 가치 있는 표적이 되었는지를 보여준다. 인기 있는 프로젝트는 종종 소규모 팀이나 심지어 단일 개발자에 의해 유지보수되지만, 수많은 애플리케이션과 서비스에 내장될 수 있다. 이는 유지보수 담당자의 개인 장치를 대규모로 소프트웨어를 침해하려는 공격자에게 매력적인 진입점으로 만든다.
위험은 하나의 프로젝트를 훨씬 넘어선다
Doppler VPN으로 개인정보를 보호하세요
3일 무료 체험. 가입 불필요. 로그 없음.
악성 Axios 패키지는 빠르게 제거되었지만, 확산될 기회를 갖기 전에 제거된 것은 아니었다. 짧은 노출 기간 동안 침해된 버전 중 하나를 설치한 모든 시스템은 해당 머신에 저장된 개인 키, 자격 증명 및 비밀번호 도용에 취약했을 수 있다. 도난당한 이러한 비밀 정보는 다른 시스템 및 서비스로 더 깊이 침투하는 데 사용될 수 있으며, 소프트웨어 공급망 사고를 더 광범위한 침해로 전환시킬 수 있다.
그러한 가능성이 이러한 종류의 공격을 매우 우려스럽게 만든다. 즉각적인 피해자는 개발자의 노트북이나 단일 패키지 저장소일 수 있지만, 궁극적인 표적은 훨씬 더 광범위할 수 있다. 즉, 프로젝트를 자체 소프트웨어 스택의 일부로 신뢰하는 사용자 및 조직이다.
Axios 사건은 더 광범위한 패턴에도 부합한다. 북한 해커들은 인터넷에서 가장 활발한 사이버 위협 중 하나로 남아 있으며, 사회 공학, 자격 증명 도용 및 원격 액세스 악성 프로그램을 결합한 작전과 반복적으로 연관되어 왔다. 그들의 캠페인은 종종 스파이 활동과 금전적 동기가 있는 범죄 사이의 경계를 모호하게 하며, 암호화폐 절도가 자주 포함된다.
익숙한 전략, 더 큰 경고
이번 최신 침해가 눈에 띄는 이유는 표적뿐만 아니라 체계적으로 전개된 방식 때문이다. 공격자들은 단순히 프로젝트 코드의 기술적 결함을 악용한 것이 아니다. 그들은 신뢰할 수 있는 신원을 구축하고, 유지보수 담당자의 신뢰를 얻고, 궁극적으로 공식 업데이트를 게시하는 데 사용되는 머신에 대한 액세스를 얻는 데 시간을 투자했다.
이러한 접근 방식은 오픈 소스 생태계의 어려운 현실을 강조한다. 널리 사용되는 소프트웨어의 보안은 코드 검토 및 패키지 모니터링뿐만 아니라 코드를 유지보수하는 사람들의 개인적인 방어에도 달려 있다. 국가 지원 해커와 범죄 집단이 이러한 유지보수 담당자를 계속 표적으로 삼으면서, 공급망 자체가 사이버 분쟁의 최전선이 된다.
Saayman은 사건에 대한 후속 질문에 즉시 응답하지 않았다. 침해의 전체 범위는 아직 평가 중이지만, 교훈은 이미 분명하다. 신뢰할 수 있는 소프트웨어가 하이재킹될 때, 폭발 반경은 침해된 프로젝트를 훨씬 넘어설 수 있다.
출처: