GlassWorm 공급망 공격이 최근 GitHub, npm, VSCode/OpenVSX 확장 프로그램 등에서 수백 개의 패키지, 저장소, 확장 프로그램을 대상으로 재개되었습니다. Aikido, Socket, Step Security, OpenSourceMalware 커뮤니티 연구진은 이번 달에만 433개의 악성 컴포넌트를 발견했으며, 동일한 Solana 블록체인 주소, 유사한 페이로드, 공유 인프라를 통해 단일 공격자가 여러 오픈소스 저장소에서 공격을 주도한 것으로 분석했습니다. GlassWorm은 2023년 10월 처음 발견되었으며, 공격자는 “보이지 않는” 유니코드 문자를 활용해 암호화폐 지갑 데이터와 개발자 자격 증명을 탈취하는 악성코드를 은닉했습니다.
이번 공격은 GitHub 계정 탈취를 통한 악성 커밋 강제 푸시, npm 및 VSCode/OpenVSX에 난독화된 악성 패키지 및 확장 프로그램 배포 등으로 이루어졌습니다. Solana 블록체인은 5초마다 명령을 받아 새로운 페이로드 URL을 갱신하며, Node.js 런타임을 다운로드해 정보 탈취형 악성코드를 실행합니다. 악성코드는 암호화폐 지갑, 자격 증명, 액세스 토큰, SSH 키, 개발 환경 데이터를 노립니다. 코드 주석 분석 결과, 러시아어 사용 공격자가 관여한 정황이 있으나, 확실한 배후로 단정하기에는 정보가 부족합니다.
Step Security는 개발자들에게 GitHub에서 직접 Python 패키지를 설치하거나 저장소를 복제해 실행할 경우, “lzcdrtfxyqiplpd” 변수, ~/init.json 파일, 홈 디렉터리 내 Node.js 설치, 의심스러운 i.js 파일, 비정상적인 Git 커밋 이력 등 GlassWorm 감염 징후를 점검할 것을 권고했습니다.
요약
- GlassWorm이 GitHub, npm, VSCode/OpenVSX 등에서 대규모 공급망 공격을 재개하였다.
- 433개의 악성 컴포넌트가 발견되었으며, 단일 공격자가 여러 오픈소스 저장소를 노린 것으로 분석된다.
- 공격자는 보이지 않는 유니코드 문자와 Solana 블록체인을 활용해 명령을 주고받으며, 정보 탈취형 악성코드를 배포한다.
- 주요 표적은 암호화폐 지갑, 자격 증명, 개발 환경 데이터 등이다.
- 개발자들은 특정 변수, 파일, 비정상적인 Git 이력 등 감염 징후를 반드시 점검해야 한다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.