악성코드 주입된 인기 오픈소스 '클론' 무더기 발견

컴퓨팅입력 :2022/08/04 14:16    수정: 2022/08/04 15:13

소프트웨어 코드 저장소 깃허브에서 악성코드가 주입된 리포지토리(개별 프로젝트 저장소) 복사본이 무더기로 발견됐다. 파이썬, 도커, 쿠버네티스 같이 인기 오픈소스 리포지토리를 복사한 클론에 교묘하게 악성코드를 추가해 넣은 것이다. 개발자들이 무심코 악성 클론 리포지토리에서 받은 코드를 사용할 경우, 원격코드실행(RCE)을 포함해 심각한 해킹 피해를 입을 수 있어 주의가 필요하다.

3일(현지시간) 블리핑컴퓨터 등 사이버보안 전문 외신은 깃허브에서 수천 개에 이르는 악성 클론이 발견됐다고 보도했다.

이런 문제를 처음 발견한 건 소프트웨어 개발자 스티븐 레이시다. 그는 이날 트위터를 통해 "깃허브에서 광범위한 악성코드 공격을 발견했다"고 주장했다. 그는 악성코드로 의심되는 URL 주소를 공개하며, 검색결과 총 3만5천개의 리포지토리가 영향을 받았으며, 크립토, 고랭, 파이썬, 자바스크립트, 배시, 도커, 쿠버네티스 같이 인기 오픈소스도 포함됐다고 했다.

블리핑컴퓨터와 보안전문가들이 검토한 결과 그의 주장처럼 정상적인 레포지토리가 영향을 받은 것은 아니었지만, 악성코드가 주입된 수천 개의 클론이 확인됐다.

레이시가 공개한 URL을 깃허브에서 검색한 결과 약 3만5천개의 파일이 나왔다. 따라서 3만5천이라는 숫자는 악성코드에 감염된 레포지토리 수가 아니라, 악성코드가 삽입된 수로 보인다고 보도는 설명했다.

보도는 또 3만5천 건의 악성코드 검색 결과 중 1만3천 건이 'redhat-operator-ecosystem'이라는 단일 레포지토리에 나왔다는 점도 확인했다. 현재 해당 리포지토리는 깃허브에서 제거된 상태다.

관련기사

보안 연구원들에 따르면 개발자들이 악성 URL이 포함된 클론을 사용할 경우, 환경변수가 해커에 노출된다. 해커는 환경 변수를 가지고 API키, 토큰, 클라우드 크리덴셜, 암호화키 같은 중요 정보를 획득할 수 있다. 또, 이 악성 클론을 설치하고 실행하는 모든 시스템에서 해커는 원격으로 임의의 코드를 실행할 수있다.

보도는 이런 피해를 막기 위해 "프로젝트의 공식 리포지토리에서 소프트웨어를 사용하고, 공식 리포지토리 처럼 보이게 위장한 포크/클론 프로젝트가 아닌지 잘 살펴봐야 한다"고 조언했다.