Packagist 공급망 공격, GitHub에 호스팅된 리눅스 악성코드로 8개 패키지 감염
출처: The Hacker News
Ravie Lakshmanan2026년 5월 23일 악성코드 / DevSecOps
새로운 “조정된” 공급망 공격 캠페인이 Packagist에 있는 8개의 패키지를 감염시켰으며, 여기에는 GitHub Releases URL에서 가져온 Linux 바이너리를 실행하도록 설계된 악성 코드가 포함되어 있습니다.
“영향을 받은 패키지는 모두 Composer 패키지였지만, 악성 코드는 composer.json에 추가되지 않았습니다,” 라고 Socket이 말했습니다(https://socket.dev/blog/malicious-postinstall-hook-found-across-700-github-repos). “대신 package.json에 삽입되어 PHP 코드와 함께 JavaScript 빌드 도구를 제공하는 프로젝트를 표적으로 삼았습니다.”
이러한 “생태계 간 배치”는 개발자와 보안팀이 PHP 의존성을 스캔할 때 Composer 메타데이터만 확인하고, 패키지에 포함된 package.json 라이프사이클 훅을 놓치는 경우가 많기 때문에 눈에 띕니다. 악성 버전은 현재 Packagist에서 삭제되었습니다.
패키지들을 분석한 결과, 상위 저장소가 수정되어 postinstall 스크립트가 추가된 것을 확인했습니다. 이 스크립트는 GitHub Releases URL(github[.]com/parikhpreyash4/systemd-network-helper-aa5c751f)에서 Linux 바이너리를 다운로드하고, /tmp/.sshd 폴더에 저장한 뒤, chmod로 모든 사용자에게 실행 권한을 부여하고 백그라운드에서 실행합니다.
아래는 감염된 패키지와 해당 버전 목록입니다.
-
moritz-sauer-13/silverstripe-cms-theme (dev-master)
-
crosiersource/crosierlib-base (dev-master)
-
devdojo/wave (dev-main)
-
devdojo/genesis (dev-main)
-
katanaui/katana (dev-main)
-
elitedevsquad/sidecar-laravel (3.x-dev)
-
r2luna/brain (dev-main)
-
baskarcm/tzi-chat-ui (dev-main)
Socket의 조사에 따르면 GitHub 내 777개의 파일에서 동일한 페이로드가 발견되었으며, 이는 더 큰 캠페인의 일부일 가능성을 시사합니다. 최소 두 사례(여기와 여기)에서는 GitHub 워크플로에 삽입된 것으로 확인되었습니다. 현재 이들이 서로 다른 침해, 포크, 중복 패키지 아티팩트, 혹은 캐시된 참조 중 어느 것에 해당하는지는 알려지지 않았습니다.
“공격자는 단일 실행 메커니즘에 의존하지 않은 것으로 보입니다. 패키지 아티팩트에서는 package.json의 postinstall 스크립트를 통해 페이로드가 트리거되었고, 워크플로 파일에서는 GitHub Actions 작업 중에 실행되도록 배치되었습니다,” 라고 애플리케이션 보안 업체가 밝혔습니다.
게다가 GitHub에서 다운로드된 페이로드의 정확한 성격은 아직 밝혀지지 않았습니다. 해당 바이너리를 호스팅하던 GitHub 계정(parikhpreyash4)이 현재 존재하지 않기 때문입니다. 악성코드 이름 “gvfsd-network”는 GNOME Virtual File System(GVfs) 데몬을 가리키며, 네트워크 공유를 관리하고 탐색하는 역할을 담당합니다.
“두 번째 단계 바이너리가 없더라도, 악성 설치 프로그램 자체만으로 차단이 필요합니다,” 라고 Socket이 말했습니다. “설치 또는 빌드 워크플로 중 원격 코드 실행을 제공하고, TLS 검증을 비활성화하고 오류를 억제하며, 다운로드된 바이너리를 백그라운드에서 실행함으로써 활동을 은폐하려고 시도합니다.”
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.