미국 사이버 보안 회사 CrowdStrike는 구글 및 비영리 단체 Shadowserver Foundation과 협력하여 해커가 악성 소프트웨어를 배포하고 오픈 소스 소프트웨어 개발자의 비밀번호를 훔치는 데 사용하는 봇넷 Glassworm 네트워크를 성공적으로 해체했다고 밝혔습니다.
CrowdStrike에 따르면 이 캠페인은 지난 2년 동안 오픈 소스 소프트웨어 공급망을 겨냥해 온 Glassworm의 배후에 있는 사이버 범죄 집단의 활동을 방해하기 위한 것입니다.
이것은 전 세계 소프트웨어 개발 생태계에 대한 심각한 위협 중 하나로 간주됩니다.
최근 많은 해커 그룹이 기업과 조직에서 널리 사용되는 소프트웨어에 악성 코드를 설치하기 위해 오픈 소스 개발자와 프로젝트를 지속적으로 공격하고 있습니다.
이 공격 형태는 GitHub와 같은 소스 코드 저장 플랫폼에 대한 기술 커뮤니티의 신뢰를 이용하기 때문에 특히 위험합니다.
CrowdStrike는 개발자가 현재 해커의 고부가가치 목표가 되었다고 평가합니다. 해커는 프로그래머의 컴퓨터에 성공적으로 침입하기만 하면 수천 개의 기업이 사용하는 소프트웨어 또는 라이브러리에 악성 코드를 설치하여 대규모 공급망 공격을 생성할 수 있습니다.
악성 코드를 배포하기 위해 Glassworm 그룹은 다양한 방법을 사용했습니다. 그들은 프로그래머용 앱 마켓에 악성 확장 프로그램을 게시하고, 악성 코드에 감염된 소프트웨어를 다운로드하도록 사용자를 속이기 위해 악성 광고를 배포하고, 이전 공격에서 도난당한 로그인 정보를 이용하여 개발자 계정을 탈취했습니다.
계정을 제어한 후 해커는 비밀리에 오픈 소스 소프트웨어 프로젝트에 악성 코드를 삽입했습니다. CrowdStrike는 이 그룹이 발견되기 전에 GitHub에서 300개 이상의 소스 코드 저장소를 악성 코드화했다고 밝혔습니다.
소탕 작전에서 CrowdStrike는 Glassworm가 봇넷 네트워크를 운영하는 데 사용하는 4개의 제어 서버와 관리자를 비활성화했습니다. 이는 해커와 감염된 장치 간의 연결을 끊고 더 많은 악성 소프트웨어 확산 위험을 방지하는 데 도움이 됩니다.
CrowdStrike에 따르면 Glassworm의 제어 인프라는 운영을 숨기기 위해 블록체인 Solana, 파이프라인 BitTorrent, Google Calendar 및 가상 개인 서버를 기반으로 매우 정교하게 구축되었습니다.
전문가들은 소프트웨어 공급망 공격 추세가 급증하고 있다고 경고합니다. 지난주에만 "Mini Shai-Hulud"라는 캠페인이 악성 업데이트를 사용하여 많은 오픈 소스 프로젝트를 공격했습니다. OpenAI의 최소 2명의 개발자가 이 사건에 침입당한 것으로 알려졌습니다.
