GitGuardian 연구원들이 발견한 새로운 GitHub 공급망 공격인 'GhostAction'은 PyPI, npm, DockerHub, GitHub 토큰, Cloudflare, AWS 키 등 총 3,325개의 비밀 키를 침해했습니다. 이 공격은 FastUUID라는 프로젝트에서 처음으로 발견되었으며, 공격자들은 유지보수자 계정을 침해하여 악의적인 GitHub Actions 워크플로우 파일을 추가하는 커밋을 수행했습니다. 이 파일은 'push' 또는 수동 디스패치에 자동으로 트리거되며, 프로젝트의 GitHub Actions 환경에서 비밀 키를 읽어 공격자의 제어하에 있는 외부 도메인으로 이동시킵니다.
FastUUID의 경우, GitGuardian은 공격자들이 프로젝트의 PyPI 토큰을 훔쳤지만, 침해가 발견되고 해결되기 전에 패키지 인덱스에서 악의적인 패키지 릴리스가 발생하지 않았음을 밝혔습니다. 이 사건에 대한 깊은 조사 결과, 이 공격은 FastUUID에 국한된 것이 아니라 훨씬 더 넓은 범위를 가지고 있었습니다. 연구원들에 따르면, GhostAction 캠페인은 적어도 817개의 저장소에 걸쳐 유사한 커밋을 주입하였으며, 모든 비밀 키는 동일한 엔드포인트로 전송되었습니다.
- 'GhostAction'이라는 새로운 GitHub 공급망 공격이 발생하여 PyPI, npm, DockerHub, GitHub 토큰, Cloudflare, AWS 키 등 총 3,325개의 비밀 키가 유출되었다.
- 이 공격은 FastUUID라는 프로젝트에서 처음 발견되었으며, 공격자들은 유지보수자 계정을 침해하여 악의적인 GitHub Actions 워크플로우 파일을 추가하는 커밋을 수행했다.
- 이 공격은 FastUUID에 국한된 것이 아니라 훨씬 더 넓은 범위를 가지고 있었으며, 적어도 817개의 저장소에 걸쳐 유사한 커밋을 주입하였다.
- 연구원들은 이 공격으로 인해 PyPI 토큰, npm 토큰, DockerHub 토큰, GitHub 토큰, Cloudflare API 토큰, AWS 접근 키, 데이터베이스 자격증명 등 약 3,325개의 비밀 키가 훔쳐졌다고 추정하고 있다.
- 이 공격으로 인해 적어도 9개의 npm 패키지와 15개의 PyPI 패키지가 직접적으로 영향을 받았으며, 유지보수자들이 유출된 비밀 키를 철회할 때까지 악의적이거나 트로이목마 버전을 언제든지 릴리스할 수 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.