5분 만에 해킹 완료, 깃허브 사용 주의

AWS 자격증명 탈취하는 자동화 공격 식별

컴퓨팅입력 :2023/11/01 11:09

소스코드 저장소 깃허브에서 5분마다 자동으로 AWS 자격 증명을 탈취하는 크립토재킹 공격이 발견됐다.

31일(현지시간) 해커뉴스 등 외신에 따르면 보안기업 팔로알토 네트워크 유닛42은 ‘엘렉트라 리크(EleKtra-Leak)’라고 명명한 사이버공격을 포착했다고 밝혔다. 

크립토재킹은 PC, 모바일 디바이스 등에 침투해 사용자 몰래 컴퓨팅 인프라를 이용해 암호 화폐를 채굴하는 공격이다.

(이미지=유닛24)

이번에 발견된 공격은 깃허브 내 공개 저장소를 반복적으로 복사하는 과정에서 임시 노출되는 아마존웹서비스(AWS)의 신원 및 접근관리(IAM) 자격증명을 탈취하는 방식이다.

유닛42의 연구요원에 따르면 해당 공격은 2020년 12월부터 활성화됐으며 올해 8월 30일부터 10월 6일 사이에 최대 474개의 아마존 EC2 인스턴스를 탈취해 암호화폐 모네로를 채굴한 것으로 확인됐다.

공격 과정은 모두 자동화돼 있었으며 약 5분만에 IAM 자격 증명을 탐지 및 탈취해 사용했다. 이번 공격에 사용한 해킹도구에는 정기적으로 IAM 자격 증명을 노출하는 AWS 계정은 자동으로 차단하는 기능도 포함된 것으로 나타났다.

유닛42의 보안연구원은 반복적인 해킹 과정이 사용자나 깃허브의 보안관리자 등에 노출되지 않기 위한 조치인 것으로 보인다고 설명했다.

관련기사

실제로 이러한 세밀한 위장 전략으로 인해 해당 공격은 약 2년이상 지속된 것으로 확인됐다. 장기간 자동화 해킹도구를 통해 무작위로 공격이 이뤄진 만큼 유닛42는 깃허브와 연결된 클라우드스 서비스가 있다면 피해가 없는지 확인할 것을 권고했다.

특히 크립토재킹 공격으로 인한 피해를 최소화하기 위해 노출이 우려되는 모든 API 연결을 취소하고, 해킹시도가 우려되는 복제 이벤트는 신중하게 감시할 필요가 있다고 강조했다.