새로운 공급망 공격 탐지: 해커가 가짜 Python 인프라를 사용하여 GitHub 개발자를 대상으로 다양한 전술 적용
목차:
해커들은 GitHub 사용자를 대상으로 하는 다단계 소프트웨어 공급망 캠페인에서 다양한 TTP를 사용하며, 170,000명 이상의 사용자들이 그 광범위한 Top.gg 커뮤니티 회원으로 피해를 입었습니다. 적들은 가짜 Python 인프라를 이용하여 GitHub 계정의 완전한 유출, 유해한 Python 패키지의 배포, 그리고 사회공학 기법을 활용했습니다.
GitHub 개발자를 대상으로 하는 공급망 공격 탐지
공급망 공격은 현대 사이버 보안 환경에서 조직에 심각한 도전을 제시하는 복잡하고 포착하기 어려운 위협입니다. 가짜 Python 인프라를 활용한 최신 공격과 연관된 악성 활동을 식별하기 위해, SOC Prime 플랫폼은 위협 사냥 및 탐지 엔지니어링을 위한 고급 도구로 지원되는 관련 탐지 규칙 세트를 제공합니다.
아래의 탐지 탐색 버튼을 누르면 GitHub의 Python 개발자를 대상으로 하는 최신 공급망 공격을 다루는 Sigma 규칙 팩으로 즉시 이동합니다. 모든 규칙은 28개의 SIEM, EDR, XDR, 그리고 데이터 레이크 솔루션과 호환되며, 위협 조사를 간소화하기 위해 MITRE ATT&CK 프레임워크 에 매핑되어 있습니다. 추가로, 탐지는 상세한 위협 정보, 공격 시간표 및 미디어 참조를 포함한 방대한 메타데이터를 동반합니다.
가짜 Python 인프라를 이용한 공급망 공격 캠페인 분석
수비자들은 인기 있는 Top.gg 커뮤니티의 회원을 포함하여 GitHub 개발자를 타겟으로 하는 새로운 정교한 공급망 공격을 밝혀냈습니다. 최근 Checkmarx의 보고서에 따르면, 위협 행위자들은 다양한 적의 TTP를 활용하여 고급 침입을 기획하고, 탐지를 회피하며, 방어 조치를 방해했습니다.
악성 인프라에는 타이포스쿼팅 적 기법을 사용하여 Python 패키지 미러로 위장한 사기성 리소스가 포함되어 있었습니다. 적들은 널리 사용되는 Colorama 유틸리티를 복제하고 여기에 악성 코드를 주입했습니다. 해커들은 스페이스 패딩 기법을 통해 후자의 페이로드를 은폐하고 이 변형 버전을 그들의 타이포스쿼팅 도메인 가짜 미러에 호스팅하여, 수비자들이 공격 활동을 추적하는 데 점점 더 많은 도전을 안겨주었습니다.
자신들의 계정을 통해 악성 리포지토리를 생성하는 것 외에도, 적들은 매우 평판이 좋은 GitHub 계정을 하이재킹하고 그 계정과 연관된 리소스를 이용하여 해로운 커밋을 푸시했습니다.
주목할 점은 레이더 아래에 머무르기 위해, 해커들은 무기화된 리포지토리 세트를 수정할 때 까다로운 전략을 채택했습니다. 그들은 해로운 링크를 포함한 여러 파일을 다른 합법적인 파일과 함께 동시에 커밋했습니다. 이는 무기화된 URL이 합법적인 종속성 사이에 위장되면서 적들이 탐지를 피할 수 있게 했습니다.
공격 GitHub 리포지토리를 통해 악성 샘플을 배포하는 것 외에도, 해커들은 해로운 Python 패키지를 활용하여 악성 코드와 함께 Colorama 것을 배포를 확장했습니다. 적들은 패키지의 소스 파일을 짧게 검토하는 동안 해로운 코드를 최소화된 가시성으로 숨기기 위해 유해한 페이로드를 코드 내에 숨기는 비열한 기술을 이용했습니다.
이 공격 캠페인에 사용된 악성 소프트웨어는 인기 있는 브라우저로부터 다양한 민감한 세부 정보를 빼돌릴 수 있습니다. 추가로, 디스코드 서버에 침입하여 피해자의 계정에 접근할 수 있는 디코딩 가능한 토큰을 검색하고, 금융 정보를 훔치고, 텔레그램 세션 데이터를 가져오며, 컴퓨터 파일을 유출합니다.
PyPI 및 GitHub 플랫폼을 통해 맬웨어를 배포하도록 설계된 17,000명 이상의 사용자를 영향을 미친 최근의 다단계 공격과 같은 유사한 공격 캠페인의 점증하는 정교함 때문에, 수비자들은 이러한 복잡한 공급망 공격에 대한 사이버 경계 수준을 높이는 방법을 찾고 있습니다. 방어 노력의 조율 및 피어 주도 정보 교환이 적의 능력에 대한 지속적인 싸움에서 매우 효과적인 것으로 입증되었습니다. 집단적 사이버 방어를 위한 SOC Prime 플랫폼 은 글로벌 위협 정보, 크라우드소싱, 제로 트러스트, 인공지능에 기반하여 진보적인 조직 및 개별 사용자에게 규모와 정교함에 상관없이 공격에 대해 사전 방어할 수 있는 미래 지향적 능력을 제공합니다.
