Red Hat 공식 NPM 채널 해킹으로 수십 개 패키지에 백도어 삽입
원제: Dozens of Red Hat packages backdoored through its official NPM channel
왜 중요한가
대형 기업 공식 채널 해킹을 통한 공급망 공격으로 오픈소스 생태계 보안 강화 필요성이 부각되고 있다.
보안업체 Aikido에 따르면 Red Hat의 공식 NPM 계정 @redhat-cloud-services가 해킹당해 30개 이상의 패키지에 악성코드가 삽입됐다. 월요일부터 시작된 공급망 공격으로 설치 시 자동 실행되어 GitHub 토큰, npm 토큰 등 민감한 인증정보를 탈취한다.
보안업체 Aikido와 Socket의 연구진에 따르면, Red Hat의 공식 NPM 채널인 @redhat-cloud-services가 해킹당해 30개 이상의 패키지에 백도어가 삽입되는 공급망 공격이 발생했다고 발표했다. 이 공격은 월요일부터 시작되어 보고서 작성 시점까지 지속되고 있었다. 악성코드는 npm install 과정에서 자동으로 실행되어 개발자가 패키지를 실제 사용하기 전에 감염이 발생한다. Socket 분석에 따르면 이 멀웨어는 GitHub 액션 시크릿, npm 토큰, Kubernetes 및 Vault 자료, 기타 클라우드 서비스 인증정보를 수집하도록 설계되었다. 더 심각한 것은 웜이 감염된 기기가 접근할 수 있는 제3자 계정에 백도어가 삽입된 패키지를 재배포하여 확산한다는 점이다. 이 웜은 'Shai-Hulud'라고 명명되었으며, 지난달 오픈소스로 공개된 악성코드와 동일한 특징을 보인다. TeamPCP가 이 웜을 처음 사용했으며, 가장 큰 공급망 공격을 수행한 해커에게 1000달러를 지급하는 경쟁을 촉진했다. 사건 발생 후 수 시간 내에 대부분의 패키지는 제거되었지만 일부는 여전히 남아있었다.