Shai-Hulud로 명명된 악성코드 캠페인이 개발자들이 소프트웨어를 안전하게 게시하기 위해 의존하는 시스템 자체를 악용하고 있습니다. 프랭크 허버트의 소설
공격 방식
Shai-Hulud는 정문을 통해 회사 네트워크에 침입하지 않습니다. 대신 소프트웨어 게시를 안전하게 만들기 위해 설계된 자동화 메커니즘을 표적으로 삼습니다. CI/CD 파이프라인, 패키지 레지스트리, 컨테이너 저장소 같은 이러한 시스템은 인간의 개입을 없애 릴리스를 가속화하도록 설계되었습니다. 이 캠페인은 그 신뢰를 무너뜨려 신뢰할 수 있는 배포 채널에 악성 코드를 주입합니다.
공격이 자동화를 이용하기 때문에, 파이프라인에 한번 침투하면 빠르게 확산될 수 있습니다. 단일 손상된 빌드 서버가 오염된 업데이트를 수천 명의 다운스트림 사용자에게 아무도 눈치채지 못한 채 푸시할 수 있습니다.
개발자가 쉬운 표적이 된 이유
개발자들은 종종 자신의 자동화 도구를 블랙박스처럼 취급합니다. 일단 구성되면 파이프라인은 높은 권한으로 실행되어 저장소에서 코드를 가져오고, 테스트를 실행하고, 아티팩트를 게시합니다. Shai-Hulud는 이러한 감독 부족을 악용합니다. 이 캠페인은 제로데이 취약점이 필요하지 않습니다. 팀이 이미 승인한 시스템에 대한 접근 권한만 있으면 됩니다.
공급망 공격은 소프트웨어 업계에 지속적인 골칫거리가 되고 있습니다. 이전 캠페인들은 패키지 관리자, 업데이트 서버, 코드 서명 서비스를 공격했습니다. Shai-Hulud는 소프트웨어를 안전하게 유지하기 위해 신뢰받는 인프라가 그 자체로 무기로 변할 수 있다는 최신 경고입니다.
위험 요소
악성코드가 소프트웨어 배포 채널을 감염시키면, 피해자는 개발자뿐만 아니라 손상된 소프트웨어를 설치하는 최종 사용자입니다. 은행, 병원, 정부 기관, 수백만 소비자는 업데이트가 깨끗하다는 것에 의존합니다. 공급망 침해는 공격자에게 경보를 울리지 않고 보안 네트워크 내부에 발판을 마련할 수 있습니다.
보안 연구원들에 따르면 Shai-Hulud 캠페인은 여전히 활동 중이지만, 침투의 정확한 범위는 불분명합니다. 특정 피해자나 도난 데이터가 이 작전과 공개적으로 연결된 사례는 아직 없습니다.
앞으로의 과제
자동화된 소프트웨어 파이프라인을 보호하는 것은 복잡한 문제입니다. 코드 서명, 더 엄격한 접근 통제, 도구 자체에 대한 정기적인 감사가 필요합니다. 하지만 많은 조직이 빠르게 움직이며 보안 검토를 병목 현상으로 간주합니다. Shai-Hulud는 지름길에 대가가 따름을 증명합니다.
개발자들이 자동화 인프라를 프로덕션 서버에 적용하는 것과 동일한 수준의 정밀 조사로 대우하기 전까지, Shai-Hulud와 같은 캠페인은 계속해서 침입 경로를 찾을 것입니다. 문제는 또 다른 캠페인이 나타날지 여부가 아니라, 너무 늦을 때까지 얼마나 많은 캠페인이 눈에 띄지 않을지입니다.
