월 100만 다운로드 오픈소스 패키지, 사용자 자격증명 탈취
원제: Open source package with 1 million monthly downloads stole user credentials
왜 중요한가
대규모 오픈소스 패키지 공급망 공격 사례로 개발자 계정 보안의 중요성을 시사한다.
월 100만 다운로드를 기록하는 오픈소스 패키지 element-data가 공격자에 의해 악성 버전 0.23.3으로 변조돼 사용자 자격증명을 탈취했다. 개발자 계정 취약점을 악용한 공격으로 12시간 동안 유포됐으며, 현재 제거된 상태다.
머신러닝 시스템 모니터링 도구인 element-data 패키지가 GitHub 액션의 취약점을 통해 공격당했다. 공격자는 악성 풀 리퀘스트를 통해 개발자 계정에서 bash 스크립트를 실행, 서명 키와 민감한 정보에 접근했다. 이후 악성 버전 0.23.3을 Python Package Index와 Docker 이미지 계정에 배포했다. 악성 패키지는 사용자 프로필, 데이터웨어하우스 자격증명, 클라우드 제공업체 키, API 토큰, SSH 키 등을 수집했다. 개발자들은 제3자 신고를 통해 침해 사실을 알게 됐으며, 3시간 내에 패키지를 제거하고 모든 자격증명을 교체했다. 영향받은 사용자들은 즉시 버전 확인 후 0.23.4로 업데이트하고, /tmp/.trinny-security-update 파일 존재 여부를 확인한 뒤 노출된 모든 자격증명을 교체해야 한다고 권고했다.