프로그래밍 언어에는 특정 기능을 정의하는 '패키지'라는 코드가 존재하며, 소프트웨어 개발자는 패키지를 선언하여 특정 기능을 내장할 수 있습니다. 대부분의 소프트웨어는 모든 코드가 처음부터 작성되는 것이 아니라 기존의 패키지와 의존관계에 있는데, 이 소프트웨어의 의존관계를 겨냥한 새로운 공급망 공격이 급증하고 있다고 보고되고 있습니다.
Newly Identified Dependency Confusion Packages Target Amazon, Zillow, and Slack; Go Beyond Just Bug Bounties
https://blog.sonatype.com/malicious-dependency-confusion-copycats-exfiltrate-bash-history-and-etc-shadow-files
Newly Identified Dependency Confusion Packages Target Amazon, Zillow, and Slack; Go Beyond Just Bug Bounties
Malicious npm dependency confusion packages exfiltrate your bash_history and /etc/shadow files
blog.sonatype.com
PyPI and npm Flooded with over 5,000 Dependency Confusion Copycats
https://blog.sonatype.com/pypi-and-npm-flooded-with-over-5000-dependency-confusion-copycats
PyPI and npm Flooded with over 5,000 Dependency Confusion Copycats
Both PyPi and npm are being inundated with malicious dependency confusion packages.
blog.sonatype.com
A new type of supply-chain attack with serious consequences is flourishing | Ars Technica
https://arstechnica.com/gadgets/2021/03/more-top-tier-companies-targeted-by-new-type-of-potentially-serious-attack/
A new type of supply-chain attack with serious consequences is flourishing
New dependency confusion attacks take aim at Microsoft, Amazon, Slack, Lyft, and Zillow.
arstechnica.com
문제가 되고 있는 공급망 공격은 2021년 2월 사이버보안 연구자인 Alex Birsan씨가 보고한 것으로, Birsan 씨는 Repository에 공개된 '외부 패키지'와 개별 기업이 보유하는 '내부 패키지'의 존재에 주목하여 기업이 사용하는 내부 패키지를 악성코드가 탑재된 외부 패키지로 바꾸는 방법을 고안해냈습니다.
Birsan 씨는 기업이 무심코 공개했던 코드를 분석하고 사내에서 개발된 것으로 보이는 내부 패키지의 이름을 특정. 이 내부 패키지와 같은 이름의 패키지를 만들고 기밀정보의 수집에 도달하지 않는 범위에서 설치된 시스템에 대한 데이터를 수집 · 전송하는 코드를 탑재하여 Repository에 공개했습니다. 그 결과, PayPal, Apple, Microsoft, Netflix, Yelp, Uber, Shopify 등 대기업에 대한 공격을 수행할 수 있는 것으로 확인되었고, 해당 기업에 보고하여 거액의 포상금을 받았다고 말합니다.
Birsan 씨가 소프트웨어의 의존관계를 겨냥한 공급망 공격을 보고한 후 몇 주간 유사한 수법을 이용한 공격이 활발하게 이루어졌다고 보도되고 있습니다. 고객이 개발한 앱의 보호가 비즈니스 모델인 Sonatype에 따르면, npm이나 Python Package Index(PyPI) 등 여러 Repository에서 내부 패키지의 대체를 목적으로 한 5000건 정도의 패키지가 공개되었다고 합니다.
그 대부분은 버그 현상금을 노린 보안연구자에 의한 것이었고, 보안기업 Contrast Security는 협업도구인 Microsoft Teams 데스크톱 버전을 표적으로 한 공격에 성공했습니다. 패키지에 탑재된 코드는 무해한 것이었지만, 공격에 성공한 Contrast Security 연구원은 소프트웨어 의존관계를 노린 공격이 심각한 위험을 초래할 수 있다고 경고합니다.
Microsoft의 홍보담당자는 "패키지의 대체 공격을 완화하기 위해 큰 노력의 일환으로 언급된 문제를 신속하게 식별하고 해결했고, 고객에게 심각한 보안 위험을 초래하지 않았다"고 설명했습니다.
Sonatype은 소프트웨어 의존관계를 노린 공격 목적으로 새롭게 공개된 패키지에는 암호의 해시와 Bash 스크립트의 기록을 훔치려고 시도하는 유해한 것도 있었다고 지적합니다. npm에서 공개된 패키지의 분석에서 Amazon · Slack · Lyft · Zillow 등이 공격의 표적이었다고 드러났습니다.
기술계열 미디어 Ars Technica가 표적이 된 기업에 코멘트를 요구했는데, Slack은 성명에서 "문제의 라이브러리는 Slack 제품의 일부가 아니고 Slack 의해 유지 또는 지원되지 않습니다. 악성 소프트웨어가 실제 환경에서 수행되었다고 의심할 근거는 없습니다"라고 답변했습니다. 보안팀은 이러한 공격을 방지하기 위해 정기적으로 제품에 사용되는 패키지를 내부와 외부 도구로 스캔하고 있으며, 내부 패키지를 사용하여 개발할 때의 안전성도 확보하고 있어, 패키지의 대체가 성공할 가능성은 낮다고 말합니다.
또한 Lyft와 Zillow는 보고된 악성 패키지가 실행되어 시스템이 위험에 노출된 징후는 보이지 않는다고 보고했습니다. Lyft는 공급망 공격을 막는 보안프로그램을 실행하여 안전성 확보에 노력하고 있으며, Zillow도 시스템에 대한 무단 액세스를 모니터링하고 미래적 위협에 대해 조치를 취하고 있다고 합니다.
Amazon의 관계자는 Ars Technica의 메일에 반응하지 않았다고 합니다.
'IT' 카테고리의 다른 글
| Google에서 새롭게 제안한 사용자 식별자 'PPID'의 이용방법은? (0) | 2021.03.13 |
|---|---|
| Android 스마트폰을 암호화하는 방법 (0) | 2021.03.12 |
| 1장의 NFT 아트가 사상 최고액인 750억 원에 낙찰 (0) | 2021.03.12 |
| Google 포토를 유료로 전환하지 않아도 되는 이유 (0) | 2021.03.12 |
| 범죄조직이 사용하는 암호화된 메시지앱의 크래킹에 법집행기관이 성공 (0) | 2021.03.11 |
| 테슬라와 Cloudflare 등의 감시카메라 15만대가 해킹되어 영상이 유출...기업뿐만 아니라 학교와 병원도 피해 (0) | 2021.03.10 |
| Intel이 완전 준동형 암호화에 관련된 DARPA의 프로그램에서 Microsoft와 협력한다고 발표 (0) | 2021.03.09 |
| 빌 게이츠 "비트코인은 지구에 악영향"이라고 발언 (0) | 2021.03.09 |
