로그프레소 “개발자 노린 공급망 웜 악성코드 확산”

로그프레소(대표 양봉열)는 최근 개발자 환경을 노리는 공급망 기반 웜 악성코드 ‘샤이 훌루드(Shai-Hulud)’가 빠르게 확산하고 있어 주의가 필요하다고 28일 밝혔다.

샤이 훌루드는 프랭크 허버트의 소설 ‘듄(Dune)’에 등장하는 거대 사막벌레 이름에서 유래한 악성코드로, 감염된 개발자의 환경을 기반으로 다른 패키지에 스스로 복제해 퍼지는 최초의 공급망 기반 웜 악성코드로 알려져 있다.

소프트웨어 공급망 공격은 개발 도구나 오픈소스 패키지, 코드 저장소 등을 매개로 침투해 확산되는 방식으로 최근 ‘노드 패키지 매니저(NPM, Node Package Manager)’ 생태계를 중심으로 공격이 다수 포착되고 있다. NPM은 자바스크립트 생태계에서 가장 널리 쓰이는 패키지(라이브러리) 관리 도구다.

이 악성코드는 정상 NPM 패키지로 위장해 설치된 뒤 개발자 단말에서 크리덴셜·토큰을 탈취해 깃허브(GitHub)에 자동 업로드하고, 감염된 패키지를 다시 등록해 자기 복제를 수행한다. 현재까지 감염된 NPM 패키지는 700개 이상이다. 또한 개발자가 의도하지 않게 생성됐거나 침해된 것으로 추정되는 깃허브 저장소도 2만5000개 이상으로 파악돼 피해 확산 우려가 커지고 있다.

로그프레소는 깃허브에 ‘Sha1-Hulud: The Second Coming’이라는 설명 문구가 포함된 퍼블릭 저장소가 보이거나, NPM 패키지 설치 후 PC 혹은 프로젝트에서 비정상 동작이 나타날 경우 감염 가능성을 의심해야 한다고 설명했다.

감염이 의심되면 즉시 깃허브의 개인 액세스 토큰(PAT, Personal Access Token)을 폐기하고 퍼블릭 저장소 전체를 점검해, 본인이 생성하지 않은 저장소는 삭제해야 한다. 최근 설치한 NPM 패키지를 확인해 악성 패키지를 제거하고 감염된 패키지를 게시한 경우에는 NPM 레지스트리에서 삭제 조치를 해야 한다. 조직 환경에서는 깃허브 엔터프라이즈 감사 로그를 기반으로 비정상 행위를 탐지하는 것이 필수적이다.

로그프레소는 샤이 훌루드의 ▲설치 방식 ▲인증 정보 탈취 로직 ▲저장소 자동 생성·업로드 동작 ▲자기 복제 메커니즘 등을 분석한 기술 리포트와 대응 가이드를 공개했으며, 퍼블릭 저장소 생성 여부를 자동 탐지할 수 있도록 깃허브 엔터프라이즈 감사 로그 수집을 지원하고 있다. 또 엑소스피어와 협력해 엔드포인트·깃허브·클라우드 간 교차 위협을 연계 분석하는 확장 탐지·대응(XDR) 기반 대응 체계도 강화했다.

양봉열 로그프레소 대표는 “개발자가 인지하지 못하는 사이에 자동 확산과 계정 탈취가 이뤄진다는 점에서 위험성이 크다”며 “오픈소스를 폭넓게 사용하는 기업은 공급망 공격 전략을 면밀히 분석하고 보안 대응 체계를 강화해야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network