Git 저장소 통한 악성코드 유포 주의보
원제: Be careful with your Git: Investigating malware spreading through Git repositories
왜 중요한가
개발자를 표적으로 한 새로운 공급망 공격 기법으로 Git 생태계 보안 강화 필요성 대두
가짜 링크드인 리크루터가 구글 드라이브를 통해 Git 저장소를 배포하며, Git 훅 기능을 악용해 개발자들을 표적으로 한 악성코드를 유포하고 있다. 저장소 체크아웃 시 자동으로 OS별 맞춤 악성코드가 실행되는 방식으로 공격이 진행된다.
보안 연구원이 가짜 채용담당자로부터 받은 링크드인 메시지를 조사한 결과, 정교한 악성코드 유포 공격을 발견했다. 공격자는 일반적인 채용 프로세스를 가장해 구글 드라이브 링크로 코드 저장소를 제공했다. 해당 저장소는 겉보기에는 정상적인 프로젝트처럼 보이지만, Git의 훅(hook) 기능을 악용한 악성 스크립트가 포함되어 있다. 일반적으로 Git 훅은 저장소 복제 시 전송되지 않지만, 이 경우 구글 드라이브 다운로드가 .git 디렉토리를 포함한 전체 폴더를 제공하여 악성 훅 파일까지 함께 전달된다. post-checkout 훅 스크립트는 git checkout이나 git commit 명령어 실행 시 자동으로 작동하며, 운영체제를 감지한 후 Mac, Linux, Windows에 맞는 악성코드를 nnlabs.pro 서버에서 다운로드하여 실행한다. 해당 도메인은 Hostinger에서 호스팅되며 현재까지 활성 상태로 확인되었다.