개발자 도구로 위장한 맬웨어
일반적인 사기의 세 가지 징후
교활한 위협: 개발자 도구로 위장한 맬웨어
현대의 사이버 공격은 그 어느 때보다 정교해졌다는 말은 이제 흔히 들을 수 있습니다. 하지만 개발자가 작업하는 데이터의 프라이버시를 보호해야 하는 조직의 표준 모범 사례인 무해한 코드 난독화 도구로 가장하는 악성 Python 패키지 스트링인 'BlazeStealer'만큼 이 표현에 딱 들어맞는 공격도 드뭅니다.
데이터 보호 도구를 사용하면 당연히 공격자를 막아야 하지만 역효과가 생기는 경우도 있습니다. 코드 난독화로 보호되는 데이터는 종종 매우 귀중한 경우가 많으므로 공격자는 이러한 도구에 침투하는 방법을 찾고 악의적 버전을 만들어 의심하지 않는 사용자에게 이 버전을 마케팅하는 방법을 찾으려고 합니다.
최근의 경우, 이처럼 무해해 보이는 코드 난독화 패키지를 다운로드하면 맬웨어가 자동으로 트리거되어 공격자는 공격 대상 장치를 완전히 제어하고 비밀번호를 탈취하며 중요한 데이터를 암호화하여 다운로드할 수 있었습니다. BlazeStealer가 감지되어 제거되었을 당시에만 해도 북미, 아시아, 유럽 전역에서 거의 2,500회나 다운로드되었으며, 그 과정에서 수천 개 조직의 보호 대상 정보가 손상되었습니다.
BlazeStealer 맬웨어는 더 이상 위협을 드러내고 있지 않지만, 다른 수천 개의 개발자 도구가 오픈 소스 리포지터리를 공격하고, 개발자의 신뢰를 악용하고, 의심하지 않는 조직에 침투하는 형태의 유사한 공격을 받고 있습니다. 공격자는 왜 앱 개발을 진입점으로 사용하는지, 귀사의 엔지니어들은 도구 내에서의 악의적 활동을 어떻게 식별하고 있는지 알아보시기 바랍니다.
공격자가 개발자 도구를 노리는 방법(그리고 이들이 멈추지 않을 가능성이 높은 이유)
개발자는 조직 내에서 고유한 위치에 있습니다. 개발 인프라와 내부 시스템에 액세스할 수 있기 때문에 공격자에게는 아주 가치가 높은 표적이 될 수 있으며, 공격자는 맬웨어와 기타 정교한 수단을 사용하여 액세스 권한을 손상시킴으로써 조직의 데이터, 운영, 수익을 위험에 빠뜨릴 수 있습니다. 최근의 공격을 떠올려 보십시오.
인기 있는 개발자 플랫폼인 GitHub는 개발자 장치를 손상시키고 사용자 자격 증명을 탈취하며 암호화폐를 훔치기 위한 수백만 개의 감염된 코드 리포지터리로 넘쳐났습니다.
북한의 해커 그룹 Lazarus의 소행으로 여겨지는 시도에서 공격자들은 사용자 오타를 악용하여 개발자들이 수천 개의 악성 Python 패키지를 다운로드하도록 유도했습니다.
유사한 공격에서는 테스트 파일에 맬웨어를 숨겼으며, 이 맬웨어는 프리랜서나 구직자를 대상으로 한 코딩 테스트에서 비롯된 것으로 추정됩니다.
개발자 플랫폼과 소프트웨어 공급망 공급자가 악성 패키지를 제거하는 것보다 공격자가 악성 패키지를 복제하고 업로드하는 것이 훨씬 빠를 수 있기 때문에 대규모로 맬웨어를 식별하고 완화하기는 어려운 경우가 많습니다. 개발자가 타사 소프트웨어를 적절히 검사하지 못하는 경우도 있습니다. 한 연구에 따르면 사용자들이 사용 중지��된 JavaScript 패키지(즉, 알려진 취약점이 있는 패키지)를 주당 21억 건의 비율로 다운로드했다고 합니다.
오픈 소스 리포지토리에 숨겨진 악의적 소프트웨어, 사기, 또는 단순한 태만으로 인해 이러한 공격의 파급 효과는 앱 및 웹 개발에 미치는 초기 영향을 훨씬 넘어서 엄청난 영향을 미칠 수 있습니다. 맬웨어가 성공적으로 이식되면 조직의 인프라와 시스템 내에서 빠르게 확산되어 내부 데이터를 탈취하고, 보호 중인 고객 정보를 손상시키고, 비즈니스 운영(또는 제품 배송까지) 방해하고, 수익과 브랜드 평판을 저해할 수 있습니다.
숨길 수 없는 정교한 개발자 사기의 3가지 징후
이러한 위협에 대응하려면 정기적인 보안 검사를 실행하고, 타사 코드 저장소와 개발자 도구의 사용에 대한 엄격한 정책을 수립하며, 진화하는 공격 방법을 개발자에게 알리는 등의 선제적인 접근 방식이 필요합니다.
일반적인 사기의 세 가지 징후와 조직이 공격 위험을 줄이기 위해 구현할 수 있는 모범 사례는 다음과 같습니다.
1.오타가 맬웨어에 감염된 패키지를 숨겨줄 수 있습니다.
'타이포스쿼팅'이라고도 하는 이 기법은 사용자를 속여 인기 소프트웨어 패키지와 이름이 비슷한 악의적 패키지를 다운로드하도록 유도합니다. 단순한 오타라도 알아채지 못하면 사용자가 손상된 패키지를 설치하면서 맬웨어가 배포될 수 있고, 공격자가 추가 작업을 진행할 수 있게 됩니다.
이러한 공격을 방지하려면 개발자는 다운로드 및 설치 프로세스를 진행하기 전에 패키지 이름을 주의 깊게 확인해야 합니다. 패키지가 신뢰할 수 있는 출처에서 온 경우에도 이는 마찬가지입니다.
2. 신뢰할 수 있는 패키지가 악의적 업데이트를 숨겨줄 수 있습니다.
이미 의심스러운 콘텐츠와 취약성에 대해 검사를 거친 패키지라도 향후 업데이트 중에 손상되어 예상치 못한 시점에 공격을 트리거할 수 있습니다. 하지만 모든 패키지 업데이트를 수동으로 확인하면 필요한 보안 업데이트의 속도가 느려지고, 다른 개발 이니셔티브에 집중할 수 없으며, 정기적으로 수행하려면 비용과 시간이 많이 소요됩니다.
이와 같은 악의적 업데이트를 방지하려면 중요한 보안 업데이트의 우선순위를 지정하는 것부터 자동화된 도구를 사용하여 패키지의 새로운 취약점을 검사하는 것까지 다양한 기술이 필요할 수 있습니다.
3. ��개발자 보안 도구와 유틸리티 패키지가 악의적인 활동의 위장일 수 있습니다.
BlazeStealer 맬웨어를 위장하는 코드 난독화 도구와 마찬가지로, 개발자 보안 도구 및 유틸리티 패키지(이메일 유효성 검사 도구처럼 평범한 도구 포함) 때문에 예기치 않은 악의적 행동이 일련의 과정을 개시할 수 있습니다. 이에 성공하면 공격자는 보호된 자격 증명, 데이터, 개발자 시스템, 프로덕션 인프라에 액세스할 수 있어 공격면을 빠르게 확장할 수 있습니다.
이러한 공격을 차단하는 것은 오픈 소스 패키지를 수동으로 검사하거나 특정 자동화 서비스를 배포하여 취약점을 사전에 스캔하는 것처럼 간단하지만은 않습니다. 이러한 공격의 대상은 개발자가 될 수도 있겠지만, 신뢰할 수 있는 저장소와 도구를 사용하더라도 위험이 생길 수 있다고 가정하는 보안 우선 사고방식을 채택하는 것은 조직의 몫입니다.
정교한 개발자 공격 완화
오픈 소스 리포지토리가 확산되고 조직에서 리포지토리에 대한 의존도가 높아짐에 따라 공격자는 개발자 시스템에 침투하기 위한 보다 효과적이고 정교한 방법을 찾고 있습니다. 따라서 강력한 위협 감지 및 대응 전략을 구현하는 것이 그 어느 때보다 중요해졌습니다.
조직에�서는 Cloudflare의 통합된 지능형 플랫폼을 이용하여 새로운 위협으로부터 인프라와 데이터를 보호하고 엄격한 데이터 통제를 시행할 수 있습니다. Cloudflare를 통해 조직은 다음을 수행할 수 있습니다.
중요한 데이터 노출 및 도난 최소화: 전송 중인 소스 코드를 스캔(HTTP 검사를 통해)하고 위험한 AI 도구 및 오픈 소스 리포지토리로의 무단 업로드를 방지합니다.
공개 리포지터리의 잠재적 위험 모니터링: GitHub 등의 공개 리포지터리를 이용할 때의 다양한 데이터 손실, 잘못된 계정 구성, 사용자 보안 위험을 감지합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
Everywhere Security: 현대 조직의 혁신을 방해하지 않으면서 위협으로�부터 보호 전자책을 다운로드하여 Cloudflare가 조직이 복잡하고 진화하는 위협으로부터 개발 환경을 보호하는 데 어떤 도움을 주고 있는지 알아보십시오.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
오픈 소스 리포지토리가 맬웨어의 온상인 이유
공격자가 개발자 도구 및 생태계를 노리는 방법
정교한 사기를 감지하고 차단하는 전략