마이크로소프트, 악성코드 공격 뒤 73개 GitHub 저장소 삭제…피해자는 밝히지 않아

출처: The New Stack

지난 주, 마이크로소프트는 AI 코딩 에이전트(Claude Code, Gemini CLI, Cursor)에서 열릴 경우 개발자 자격 증명을 탈취하는 악성코드 공격에 대응해 자체 GitHub 저장소 73개를 차단했습니다.

404 Media에 따르면, StepSecurity 연구원들은 악성 커밋이 durabletask 저장소에 업로드된 뒤 영향을 받은 GitHub 저장소들이 폐쇄되었다고 밝혔습니다.

마이크로소프트는 아직 몇 명의 개발자가 영향을 받았는지 공개하지 않았으며, 전문가들은 이번 사건이 업계 전반의 큰 문제를 시사한다고 말합니다.

아직 영향을 받은 사람에 대한 소식은 없음

73개의 GitHub 저장소가 차단됐지만, 그 여파에 대한 정보는 거의 없습니다.

Ars Technica가 보도한 바에 따르면, 마이크로소프트 소유의 GitHub는 “GitHub 서비스 약관 위반” 때문에 저장소를 비활성화했다고 밝혔습니다. 왜 단순한 약관 위반이라고만 설명하고 개발자에게 잠재적 위험을 경고하지 않았는지 물었을 때, GitHub는 The New Stack에 답변하지 않았습니다.

악성코드 공격이 발생한 지 3일째인 월요일, 마이크로소프트는 404 Media에 “잠재적인 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 제거했다”고 인정했습니다.

해당 저장소에 접근한 개발자 수를 물었을 때, 마이크로소프트 관계자는 The New Stack에 “영향을 받은 저장소에서 콘텐츠를 다운로드했을 가능성이 있는 소수의 고객에게 통보했다”고 답했습니다.

“잠재적인 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 제거했습니다. 모든 저장소는 검토 후 복구되었습니다.”라고 마이크로소프트 관계자는 덧붙였습니다.

마이크로소프트에게는 데자뷰?

이번 달 악성코드 공격은 마이크로소프트가 겪은 이전 문제에 이어 발생했습니다. 404 Media에 따르면, 위협 행위자 TeamPCP는 이미 durabletask를 세 번의 악성 버전으로 공개해 마이크로소프트를 침해한 바 있습니다.

“그들이 더 중요한 공개를 해야 할 부분은 우리가 다시 그들의 퍼블리싱 파이프라인과 오픈소스 저장소를 신뢰할 수 있다는 점이며, 이는 큰 도전 과제입니다.”

OpenSourceMalware에 따르면, 이번 공격은 5월에 발생한 사건을 다시 침해한 것이지만, 해커가 두 번째로 악행을 저지를 수 있었던 구체적인 경로는 명확하지 않습니다. 마이크로소프트가 적절한 복구 작업을 마무리하지 않아 새로운 침입이 가능했는지, 아니면 6월 공격이 전혀 새로운 유형의 침해인지 아직 확실치 않습니다.

이와 관련해 CleanStart 공동창업자이자 CEO인 Nilesh Jain은 The New Stack에 “두 가지 요인이 모두 작용했을 가능성이 높다”고 설명했습니다.

“durabletask PyPI 토큰이 5월에 유출됐고, 동일 계정이 6월에 Miasma 웜 커밋을 푸시하는 데 사용되었습니다. 이는 첫 번째 사건 이후 자격 증명 회전이 완전하지 않았거나, 공격자가 지속 메커니즘을 통해 접근 권한을 유지했음을 시사합니다.”

그는 또한 시스템적 위험