피드로 돌아가기
GitHub nukes 70+ Microsoft repos, breaks CI/CD pipelines, following suspected worm infections
The RegisterThe Register
Security

Miasma worm 감염 대응을 위한 GitHub의 105초 내 73개 리포지토리 강제 격리

GitHub nukes 70+ Microsoft repos, breaks CI/CD pipelines, following suspected worm infections

2026년 6월 8일3intermediate

Context

공급망 공격의 일환인 Miasma worm이 개발자 계정 탈취를 통해 Azure 관련 리포지토리에 악성 커밋을 삽입함. IDE 및 AI coding tool의 설정 파일을 이용한 Remote Code Execution(RCE) 유도로 Cloud Secret 탈취를 시도한 구조임.

Technical Solution

  • Compromised Contributor Account를 통한 악성 커밋 삽입 및 설정 파일 배포로 RCE 트리거 설계
  • AI coding tool(Claude Code, Gemini CLI, Cursor)의 파일 읽기 동작을 악용한 코드 실행 경로 확보
  • PyPi 패키지 업로드와 GitHub 커밋을 병행하여 Linux 시스템 내 Cloud Secret 및 설정 파일 스니핑 수행
  • GitHub의 Automated Detection 시스템 가동을 통한 이상 징후 포착 및 자동 격리 프로세스 수행
  • 서비스 약관 위반(ToS violations) 기반의 리포지토리 접근 즉시 차단 및 CI/CD 파이프라인 강제 중단
  • Token Rotation 미흡으로 인한 재감염 경로 차단 필요성 확인

1. 개발자 계정의 Token Rotation 주기 단축 및 자동화 여부 점검

2. IDE 및 AI coding tool의 플러그인/설정 파일 실행 권한 제한 설정

3. CI/CD 파이프라인 내 Third-party Action 및 패키지 버전의 고정(Pinning) 및 무결성 검증 도입

4. 공급망 공격 감지를 위한 리포지토리 쓰기 권한 모니터링 강화

원문 읽기