GitHub, 비밀번호 탈취 악성코드 배포 마이크로소프트 저장소 차단
Microsoft는 GitHub에 있는 Azure, microsoft, Azure‑Samples, MicrosoftDocs 조직의 73개 저장소를 삭제해 연속 통합 파이프라인을 중단시켰습니다.
이 사건은 6월 5일에 발생했으며, 불과 105초 만에 차단되었습니다. 회사는 BleepingComputer에 저장소를 삭제한 이유가 “잠재적인 악성 콘텐츠”가 배포될 우려 때문이라고 밝혔습니다.
여러 연구원은 이번 저장소 삭제가 Miasma/Shai‑Hulud 공급망 공격 캠페인 중에 발생한 침해 이후 이루어졌다고 확인했습니다.
OpenSourceMalware 플랫폼은 Microsoft Azure 조직에 있는 ‘durabletask’ 저장소가 5월에 침해됐으며, 정리 작업이 불완전해 위협 행위자가 새로운 침해를 시도할 수 있었다고 전했지만, 이는 아직 확인되지 않았습니다.
저장소를 삭제한 직후, GitHub 직원이 “GitHub 서비스 약관 위반” 때문에 조치를 취했다는 메시지가 표시되었습니다.
Microsoft 관계자는 커뮤니티 토론에서 사용자 문의에 답변하며, 저장소가 “내부 관리 문제”로 비활성화됐고 현재 조사 중이라고 밝혔습니다.
이번 사건의 가장 큰 즉각적 영향은 Azure Functions 배포에 많이 사용되는 GitHub Action인 ‘Azure/functions-action’에 대한 접근이 차단된 것이었습니다.
이를 참조하던 워크플로우는 해당 저장소에 액션을 해결할 내용이 없어 작동을 멈추었고, 서비스 중단과 혼란을 초래했습니다.
작성 시점에서는 모든 저장소가 복구되었으며, 깨끗하고 안전하게 사용할 수 있다고 판단됩니다.
하지만 OpenSourceMalware 플랫폼에 따르면, Python Package Index(PyPI)의 ‘durabletask’ 패키지도 5월에 위협 행위자가 악성 버전(1.4.1, 1.4.2, 1.4.3) 3개를 푸시하면서 침해된 바 있습니다.
BleepingComputer에 제공한 성명에서 Microsoft 대변인은 “잠재적인 악성 콘텐츠를 조사하는 과정에서 일부 저장소를 일시적으로 삭제했다”고 설명했습니다.
모든 저장소가 복구된 현재, Microsoft는 “해당 저장소에서 콘텐츠를 다운로드했을 가능성이 있는 소수 고객에게 통보했다”고 덧붙였습니다.
“우리는 조사를 지속할 것이며, 고객이 추가 조치를 취해야 하는 상황이 발견되면 기존 지원 채널을 통해 직접 연락드리겠습니다.”라고 Microsoft 대변인은 전했습니다.
보안 엔지니어 Adnan Khan은 6월 5일에 발생한 Microsoft 저장소 사건이 Red Hat의 npm 패키지 32개를 감염시킨 Miasma 악성코드 캠페인의 일환이라고 밝혔습니다.
이번 주 보고서에서 소프트웨어 공급망 관리 기업 Cloudsmith은 Microsoft의 GitHub Azure 환경과 ‘durabletask’ 저장소가 Miasma에 의해 침해됐으며, 이 웜이 AI 코딩 도구(예: Claude Code, Gemini CLI, VS Code, Cursor)를 표적으로 삼았다고 결론지었습니다.
해커는 Red Hat의 npm 패키지에서 Microsoft의 GitHub 리소스로 전환했습니다.
“이 웜은 처음에 @redhat‑cloud‑services npm 네임스페이스를 공격했으며, Red Hat 직원의 GitHub 계정을 침해했습니다. 내부 저장소에 검토되지 않은 고아 커밋을 푸시함으로써 위협 행위자는 GitHub의 OIDC 토큰을 요청하는 최소한의 워크플로우를 삽입했습니다.”라고 연구진은 설명했습니다.
공급망 공격은 계속해서 오픈소스 생태계를 노리고 있습니다. 어제, 애플리케이션 보안 기업 Socket은 주말에 새로운 Shai‑Hulud 공격을 포착했으며, 이는 새로운 전달 메커니즘을 사용했다고 보고했습니다.
StepSecurity는 Shai‑Hulud 공격이 Pythagora‑io/gpt‑pilot을 침해한 사례에 초점을 맞춘 별도 보고서를 발표했습니다. 이 도구는 33,700개 이상의 GitHub 스타와 3,500개 이상의 포크를 보유한 인기 오픈소스 AI 개발 툴입니다.
소프트웨어 개발자는 프로젝트 의존성을 고정하고, 새 패키지 업데이트를 가져오는 데 며칠 간의 지연을 두며, 격리된 환경에서 새로운 빌드를 테스트하는 방안을 고려해야 합니다.
보안 팀은 성공적인 공격의 54%를 기록하지만, 실제로 경보를 울리는 경우는 14%에 불과합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 테스트해 위협이 탐지되지 않고 넘어