CrowdStrike와 Google, 공급망 공격으로 소프트웨어 개발자를 노린 해커들의 봇넷 차단

출처: TechCrunch

개요

CrowdStrike는 Google 및 비영리 단체 Shadowserver와 협력해 사이버 범죄자들이 오픈소스 소프트웨어 개발자를 대상으로 악성코드를 배포하고 비밀번호를 탈취하던 봇넷을 차단했습니다. 이번 작전은 2년 동안 오픈소스 소프트웨어 공급망 전반을 위협해 온 Glassworm 봇넷을 목표로 했습니다.

해체 작전

해체 작전은 Glassworm 해커들의 활동을 차단하는 것을 목표로 했습니다. CrowdStrike에 따르면 이들은 제품 자체보다 개발자를 직접 노리는 전략을 사용했으며, 단일 개발자의 워크스테이션을 침해하면 수천 개의 하위 조직과 사용자에게 영향을 미치는 공급망 침해로 이어질 수 있음을 인식하고 있었습니다.

공격 전략

Glassworm은 악성 코드를 배포하기 위해 여러 전술을 사용했습니다.

• 개발자들이 이용하는 마켓플레이스에 악성 확장 프로그램을 게시.
• 악성 광고(멀버타이징): 스폰서 검색 결과에 비용을 지불해 피해자를 속여 악성 코드를 다운로드하게 함.
• 이전 해킹에서 탈취한 자격 증명을 이용해 개발자 계정을 장악하고 그들의 코드에 악성 코드를 심음.

그 결과 해커들은 300개가 넘는 GitHub 저장소를 오염시켰습니다.

명령·제어(C2) 차단

CrowdStrike는 Glassworm이 사용하던 네 개의 명령·제어(C2) 채널을 차단했다고 보고했습니다. 이를 통해 해커들의 감염된 머신 접근이 차단되고 추가 악성코드 배포가 중단되었습니다. C2 인프라스트럭처는 다음을 기반으로 했습니다.

• Solana 블록체인
• BitTorrent 피어‑투‑피어 네트워크
• Google Calendar
• 가상 사설 서버(VPS)

관련 공급망 사고

• 지난 주, 해커들이 여러 오픈소스 프로젝트를 장악해 “Mini Shai‑Hulud”라는 캠페인으로 악성 업데이트를 배포했습니다. OpenAI 개발자도 피해자 중 하나였습니다.
• 3월에는 의심되는 북한 해커가 수백만 개발자가 사용하는 인기 오픈소스 개발 도구 Axios를 탈취했습니다. 자세한 내용은 여기를 참고하세요.