로그프레소가 공급망 기반 웜 악성코드 ‘샤이 훌루드’ 확산에 대해 개발자 환경도 위험에 노출될 수 있다고 경고했다. 해당 악성코드는 NPM 생태계를 악용해 개발자 단말의 크리덴셜을 탈취하고 깃허브 저장소를 자동 생성하거나 감염 패키지를 게시하는 방식으로 확산되며, 2만5천여 개 저장소가 이미 침해된 것으로 파악됐다. 로그프레소는 PAT 파기, 퍼블릭 저장소 점검, 악성 패키지 삭제 등 즉각 조치를 권고하며 공급망 공격 대응 체계 강화를 강조했다.
클라우드 SIEM 전문기업 로그프레소는 ‘샤이 훌루드(Shai-Hulud)’ 공급망 공격이 개발자 환경에도 영향을 줄 수 있다며 28일 각별한 주의를 당부했다.
‘샤이 훌루드’는 프랭크 허버트의 소설 ‘듄(Dune)’에 등장하는 사막 생물 이름에서 따온 명칭으로, 감염된 개발자의 환경을 기반으로 다른 패키지에 자기 복제를 수행하는 최초의 공급망 기반 웜 악성코드다. 로그프레소는 소프트웨어 공급망 공격 증가 속에서 NPM 생태계를 노린 대규모 공격 사례가 확인되고 있다고 설명했다.
해당 악성코드는 정상적인 NPM 패키지로 위장해 개발자 PC의 크리덴셜과 토큰을 수집한 뒤 깃허브로 자동 업로드하고, 감염된 패키지를 게시해 확산된다. 현재까지 700개 이상의 NPM 패키지가 변조된 것으로 파악되며, 무단 생성 또는 침해된 깃허브 저장소는 2만5천 개 이상으로 추정된다.
로그프레소는 깃허브에 “Sha1-Hulud: The Second Coming.” 문구가 포함된 퍼블릭 저장소가 존재하거나 NPM 패키지 설치 이후 비정상 동작이 발생하면 감염 가능성이 높다고 전했다. 공격이 의심되는 경우 깃허브의 PAT를 즉시 파기하고, 퍼블릭 저장소 전체를 점검해 본인이 생성하지 않은 저장소를 삭제해야 한다. 또한 최근 설치한 NPM 패키지를 확인해 악성 패키지를 제거하고, 감염 패키지를 게시한 경우 NPM 레지스트리에서 삭제해야 한다. 조직 환경에서는 감사 로그 기반의 비정상 행위 탐지가 필요하다는 설명이다.
로그프레소는 자사 블로그에 패키지 설치 방식, 크리덴셜 탈취 로직, 깃허브 자동 생성·업로드 동작, 자기 복제 메커니즘을 분석한 기술 리포트와 대응 가이드를 공개했다. 깃허브 엔터프라이즈 감사 로그를 수집해 의도하지 않은 퍼블릭 저장소 생성 여부를 탐지할 수 있도록 지원하고 있으며, 엑소스피어와 협력해 긴급 대응 업데이트를 배포하는 등 XDR 기반 대응 체계를 강화하고 있다.
양봉열 대표는 “공격은 개발자가 인지하지 못하는 사이에 자동으로 퍼지고 계정을 탈취한다는 점에서 특히 위험하다”라며 “오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있다”고 말했다.
By 기사제보 및 정정요청 = PRESS@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 Ai 학습 포함 금지〉
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요