마이크로소프트 오픈소스 도구가 해킹돼 AI 개발자 비밀번호를 탈취했다
출처: Hacker News
Microsoft는 해커가 프로젝트를 침해하고 코드에 비밀번호를 훔치는 악성코드를 주입한 것으로 보이는 상황을 조사하면서 GitHub에 호스팅된 수십 개의 오픈소스 프로젝트에 대한 접근을 차단했습니다.
영향을 받은 프로젝트 대부분은 Microsoft의 클라우드 서비스 Azure와 AI 개발 앱으로 코딩할 때 사용되는 도구들(예: Claude Code, Gemini 명령줄 인터페이스, VS Code)과 관련돼 있습니다.
보안 기업 Cloudsmith과 커뮤니티 기반 악성코드 분석 사이트 OpenSourceMalware에서 처음으로 해킹을 알렸으며, 해당 악성코드는 사용자가 AI 코딩 앱에서 손상된 도구를 열 때 비밀번호와 기타 민감한 자격 증명을 탈취하도록 해커에게 허용했습니다.
얼마나 많은 사용자가 영향을 받은 도구를 다운로드했는지는 아직 명확하지 않습니다.
Microsoft는 최초로 404 Media가 보도한 대로 해당 저장소를 삭제했다고 확인했습니다.
Microsoft 대변인 Ben Hope는 TechCrunch에 “잠재적인 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 제거했다”고 전했습니다.
“검토 후 복구된 저장소도 있지만, 작업이 진행되는 동안 오프라인 상태를 유지할 수도 있다.”
“조사 과정의 일환으로, 영향을 받은 저장소에서 콘텐츠를 다운로드했을 가능성이 있는 소수의 고객에게 통보했다. 우리는 조사를 지속할 것이며, 고객이 조치를 취해야 할 추가 사항이 발견되면 기존 지원 채널을 통해 직접 연락을 취할 것이다.”라고 Hope는 덧붙였습니다.
TechCrunch가 문의했을 때 Microsoft는 영향을 받은 고객 수를 즉시 제공하지 않았습니다.
GitHub(마이크로소프트가 소유한 코드 호스팅 사이트)에서 프로젝트 페이지에 접근하려 할 때 나타나는 메시지에 따르면 최소 70개의 Microsoft 소유 프로젝트가 “비활성화”되었습니다. “이 저장소는 GitHub 이용 약관 위반으로 인해 GitHub 직원에 의해 비활성화되었습니다.”
이미지 출처: TechCrunch/screenshot
이는 최근 몇 달간(이 기사에서 다룬 바와 같이) 해커가 널리 사용되는 오픈소스 프로젝트를 침해해 해당 코드를 설치한 다수 사용자에게 악성코드를 심는 공급망 공격의 최신 사례입니다. 공급망 공격은 다수 소프트웨어 제품이나 특정 사용자 그룹에서 흔히 사용되는 코드를 표적으로 삼아, 클라우드 시스템 접근 권한이나 방대한 고객 데이터를 보유하고 있을 가능성이 높은 경우에 특히 유리합니다.
오픈소스 프로젝트의 단일 개발자가 해커의 표적이 되는 경우는 드물지 않으며(개발자 신뢰를 얻기 위한 장기적인 시도와 같이), Microsoft처럼 방어 자원이 풍부한 대형 기술 기업이 침해당하는 일은 드뭅니다.
Microsoft는 지난 몇 주 동안 두 번째로 알려진 침해 사건을 겪었으며, 이는 해커가 오픈소스 프로젝트를 다시 장악한 것으로 보입니다(Ars Technica 보도). 5월 중순, 보안 연구원들은 Microsoft의 오픈소스 프로젝트인 Durable Task(개발자가 앱을 구축하는 데 도움을 주는 도구)가 해킹당했다고 발표했습니다. OpenSourceMalware는 이번 사건을 Durable Task 프로젝트의 “재침해”라고 설명했으며, 이는 Microsoft가 최초 시도에서 해커를 완전히 제거하지 못했거나 완전히 새로운 침해가 발생했음을 시사합니다.
Microsoft의 코멘트를 추가해 업데이트했습니다.
우리 기사에 포함된 링크를 통해 구매하면, 소액의 커미션을 받을 수 있습니다. 이는 편집 독립성에 영향을 미치지 않습니다.
Zack Whittaker는 TechCrunch의 보안 편집자이며, 주간 사이버 보안 뉴스레터 **this week in security**를 집필합니다.
그는 Signal에서 zackwhittaker.1337으로 암호화된 메시지를 통해 연락할 수 있으며, 이메일(zack.whittaker@techcrunch.com)이나 검증된 연락을 원할 경우에도 동일한 주소로 연락할 수 있습니다.