애플리케이션 보안 기업 Checkmarx는 LAPSUS$ 해킹 그룹이 자사의 비공개 GitHub 저장소에서 데이터를 탈취·유출했다고 공식 확인했다. 조사 결과, TeamPCP가 주도한 Trivy 공급망 공격으로 하위 사용자 자격 증명이 유출되었으며, 공격자는 이를 이용해 3월 23일 Checkmarx GitHub 저장소에 접근하여 악성 코드를 게시했다.
이후 4월 22일에는 KICS 보안 스캐너용 악성 Docker 이미지와 VSCode·Open VSX 확장 프로그램을 배포해 자격 증명, 키, 토큰, 설정 파일 등을 추가 탈취했다. LAPSUS$는 다크웹 및 클리어넷 포털을 통해 96GB 분량의 데이터를 유출한 것으로 확인되었으며, 현재까지 고객 정보는 포함되지 않은 것으로 파악된다.
Checkmarx는 영향받은 저장소 접근을 차단하고 포렌식 조사를 진행 중이며, 고객 정보 포함이 확인될 경우 즉시 통지할 예정이다. 추가 정보는 24시간 이내 공개될 계획이다.
요약
- LAPSUS$에 의한 GitHub 저장소 데이터 유출 공식 확인
- Trivy 공급망 공격으로 유출된 자격 증명 악용, 악성 코드 게시
- KICS용 악성 소프트웨어 배포를 통한 추가 정보 탈취
- 현재까지 고객 정보 포함 미확인, 포렌식 조사 진행 중
- 24시간 이내 추가 정보 공개 예정
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.