5분 만에 해킹 완료, 깃허브 사용 주의
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
소스코드 저장소 깃허브에서 5분마다 자동으로 AWS 자격 증명을 탈취하는 크립토재킹 공격이 발견됐다.
공격 과정은 모두 자동화돼 있었으며 약 5분만에 IAM 자격 증명을 탐지 및 탈취해 사용했다.
이번 공격에 사용한 해킹도구에는 정기적으로 IAM 자격 증명을 노출하는 AWS 계정은 자동으로 차단하는 기능도 포함된 것으로 나타났다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
(지디넷코리아=남혁우 기자)소스코드 저장소 깃허브에서 5분마다 자동으로 AWS 자격 증명을 탈취하는 크립토재킹 공격이 발견됐다.
31일(현지시간) 해커뉴스 등 외신에 따르면 보안기업 팔로알토 네트워크 유닛42은 ‘엘렉트라 리크(EleKtra-Leak)’라고 명명한 사이버공격을 포착했다고 밝혔다.
크립토재킹은 PC, 모바일 디바이스 등에 침투해 사용자 몰래 컴퓨팅 인프라를 이용해 암호 화폐를 채굴하는 공격이다.
이번에 발견된 공격은 깃허브 내 공개 저장소를 반복적으로 복사하는 과정에서 임시 노출되는 아마존웹서비스(AWS)의 신원 및 접근관리(IAM) 자격증명을 탈취하는 방식이다.
유닛42의 연구요원에 따르면 해당 공격은 2020년 12월부터 활성화됐으며 올해 8월 30일부터 10월 6일 사이에 최대 474개의 아마존 EC2 인스턴스를 탈취해 암호화폐 모네로를 채굴한 것으로 확인됐다.
공격 과정은 모두 자동화돼 있었으며 약 5분만에 IAM 자격 증명을 탐지 및 탈취해 사용했다. 이번 공격에 사용한 해킹도구에는 정기적으로 IAM 자격 증명을 노출하는 AWS 계정은 자동으로 차단하는 기능도 포함된 것으로 나타났다.
유닛42의 보안연구원은 반복적인 해킹 과정이 사용자나 깃허브의 보안관리자 등에 노출되지 않기 위한 조치인 것으로 보인다고 설명했다.
실제로 이러한 세밀한 위장 전략으로 인해 해당 공격은 약 2년이상 지속된 것으로 확인됐다. 장기간 자동화 해킹도구를 통해 무작위로 공격이 이뤄진 만큼 유닛42는 깃허브와 연결된 클라우드스 서비스가 있다면 피해가 없는지 확인할 것을 권고했다.
특히 크립토재킹 공격으로 인한 피해를 최소화하기 위해 노출이 우려되는 모든 API 연결을 취소하고, 해킹시도가 우려되는 복제 이벤트는 신중하게 감시할 필요가 있다고 강조했다.
남혁우 기자(firstblood@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.
- MS, 깃허브 코파일럿으로 사용자당 월 20달러 손해
- 깃허브, 북한 해킹그룹 라자루스 사이버공격 경고
- 가자지구 해커, 이스라엘 에너지·국방 조직 해킹 시도
- 안랩, 급여 명세서 위장 악성코드 유포 주의
- 배달앱 수수료 7.8%로 인하...'배민 상생안' 극적 합의
- 주52시간 예외·직접 보조금...韓·日, 반도체법 재추진
- 설마했는데…삼성전자, '4만전자' 됐다
- 경계 사라진 비즈니스...엔비디아·어도비 등 ‘빅테크 혁신 팁’ 푼다
- AI에 세제혜택 준다···"글로벌 기술패권 총력 대응"
- 아파트 주차장서 또 벤츠 전기차 화재…이번엔 국내산 배터리