로그프레소가 공급망 기반 웜 악성코드 ‘샤이 훌루드’ 확산에 대응해 국내 개발자와 조직에 주의를 당부했다. 소프트웨어 공급망 공격이 전 세계적으로 증가하는 가운데 개발자 단말을 기반으로 패키지 저장소까지 침해하는 악성코드가 확인되면서 개발 환경 전반에 대한 보안 점검 필요성이 높아졌다.

 

‘샤이 훌루드’는 프랭크 허버트의 소설 듄에서 이름을 따온 악성코드로 감염된 개발자의 환경을 기반으로 다른 패키지에 자기 복제를 수행하는 공급망 기반 웜 형태다. 정상적인 NPM 패키지로 위장해 설치되며 각종 크리덴셜과 토큰을 수집해 깃허브에 자동 업로드한 뒤 감염된 패키지를 게시하는 방식으로 확산된다. 로그프레소는 최근 NPM 생태계를 겨냥한 대규모 공격이 이어지고 있다며 국내 개발자 환경도 영향권에 들 수 있다고 경고했다.

 

현재까지 감염된 NPM 패키지는 700개 이상으로 파악되며 무단 생성되거나 침해된 깃허브 저장소는 2만5천 개 이상이다. 로그프레소는 깃허브 계정에 ‘Sha1-Hulud: The Second Coming.’ 문구를 포함한 퍼블릭 저장소가 존재하거나 NPM 패키지 설치 후 PC나 프로젝트에서 비정상 동작이 발생한다면 샤이 훌루드 감염 가능성을 의심해야 한다고 설명했다.

 

 

공격이 의심될 경우 개발자는 즉시 PAT를 파기해 깃허브 저장소 조작을 차단해야 한다. 이후 깃허브에 생성된 퍼블릭 저장소 전체를 점검해 본인이 생성하지 않은 저장소는 삭제해야 하며 최근 설치된 NPM 패키지를 확인해 잠재적 악성 패키지를 제거해야 한다. 감염된 패키지를 게시한 경우에는 NPM 레지스트리에서 삭제 조치가 필요하며 조직 환경에서는 깃허브 감사 로그 기반의 비정상 행위 탐지가 필수다.

 

로그프레소는 자사 블로그를 통해 ‘패키지 설치 방식’, ‘크리덴셜 탈취 로직’, ‘깃허브 자동 생성·업로드 동작’, ‘자기 복제 메커니즘’을 분석한 기술 리포트와 대응 가이드를 공개했다. 또한 깃허브 엔터프라이즈 감사 로그를 수집해 의도하지 않은 퍼블릭 저장소 생성 여부를 탐지하는 기능을 제공하고 있으며 악성 패키지 확산에 대응하기 위해 엑소스피어와의 협력도 강화했다. 엔드포인트, 깃허브, 클라우드를 연계해 교차 위협을 탐지하는 XDR 기반 대응 체계 마련에도 속도를 내고 있다.

 

양봉열 로그프레소 대표는 “이번 공격은 개발자가 인지하지 못하는 사이에 자동으로 퍼지고 계정을 탈취한다는 점에서 특히 위험하다”며 “오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있다”고 강조했다.

 

헬로티 구서경 기자 |