CrowdStrike와 Google, 해커가 오픈소스 개발자를 노린 봇넷 차단

출처: TechCrunch

CrowdStrike는 Google 및 비영리 단체 Shadowserver와 협력해 해커들이 악성코드를 배포하고 오픈소스 소프트웨어 개발자들의 비밀번호를 탈취하는 데 사용하던 봇넷을 차단했습니다.

차단 작전

차단 작전은 CrowdStrike에 따르면 2년 동안 오픈소스 소프트웨어 공급망 전체를 노려온 Glassworm 봇넷의 활동을 방해하는 것을 목표로 했습니다.

위협 상황

최근 몇 달 동안 여러 해킹 그룹이 개발자와 오픈소스 프로젝트를 표적으로 삼아 공급망에 악성 소프트웨어를 주입하고 있습니다. 이러한 공격은 기업이 GitHub 같은 플랫폼에 호스팅된 코드와 그 코드를 만든 개발자를 신뢰한다는 점을 악용합니다.

“적들은 이제 단순히 제품만을 노리는 것이 아니라, 그 제품을 만드는 개발자들을 노리고 있습니다,” 라고 CrowdStrike는 밝혔습니다. “개발자는 매우 높은 가치를 가진 목표입니다. 단일 개발자의 워크스테이션을 탈취하면 수천 개의 하위 조직과 사용자에게 영향을 미치는 공급망 전체 침해로 이어질 수 있습니다.”

공격 방법

Glassworm은 악성 코드를 배포하기 위해 여러 전략을 사용했습니다:

• 개발자들이 이용하는 마켓플레이스에 악성 확장 프로그램을 게시.
• 악성 광고(멀버타이징) – 스폰서 검색 결과에 비용을 지불해 피해자를 속여 악성코드를 다운로드하게 함.
• 이전 해킹에서 탈취한 자격 증명을 이용해 개발자 계정을 장악하고 그들의 코드에 악성코드를 심음.

그 결과 해커들은 300개가 넘는 GitHub 저장소를 오염시켰습니다.

명령·제어 차단

CrowdStrike는 Glassworm이 사용하던 네 개의 명령·제어(C2) 채널을 차단해 해커들의 감염된 컴퓨터 접근을 차단하고 추가 악성코드 배포를 중단했다고 보고했습니다. C2 인프라스트럭처는 다음을 기반으로 했습니다:

• Solana 블록체인
• BitTorrent 피어‑투‑피어 네트워크
• Google Calendar
• 가상 사설 서버(VPS)

관련 공급망 사고

• 지난 주, 해커들은 “Mini Shai‑Hulud”라 명명된 캠페인으로 여러 오픈소스 프로젝트를 장악하고 악성 업데이트를 배포했습니다.
• 최소 두 명의 OpenAI 개발자가 이 그룹에 의해 침해되었습니다.
• 3월에는 의심되는 북한 행위자가 수백만 개발자가 사용하는 인기 오픈소스 개발 도구 Axios를 탈취했습니다.

참고 자료

• Inside CrowdStrike: Takedown of a Developer‑Targeting Botnet
• Hackers have compromised dozens of popular open‑source packages in an ongoing supply‑chain attack
• OpenAI says hackers stole some data after latest code security issue
• Hacker hijacks Axios open‑source project used by millions to push malware