피드로 돌아가기
The RegisterSecurity
원문 읽기
Miasma worm 감염 대응을 위한 GitHub의 105초 내 73개 리포지토리 강제 격리
GitHub nukes 70+ Microsoft repos, breaks CI/CD pipelines, following suspected worm infections
AI 요약
Context
공급망 공격의 일환인 Miasma worm이 개발자 계정 탈취를 통해 Azure 관련 리포지토리에 악성 커밋을 삽입함. IDE 및 AI coding tool의 설정 파일을 이용한 Remote Code Execution(RCE) 유도로 Cloud Secret 탈취를 시도한 구조임.
Technical Solution
- Compromised Contributor Account를 통한 악성 커밋 삽입 및 설정 파일 배포로 RCE 트리거 설계
- AI coding tool(Claude Code, Gemini CLI, Cursor)의 파일 읽기 동작을 악용한 코드 실행 경로 확보
- PyPi 패키지 업로드와 GitHub 커밋을 병행하여 Linux 시스템 내 Cloud Secret 및 설정 파일 스니핑 수행
- GitHub의 Automated Detection 시스템 가동을 통한 이상 징후 포착 및 자동 격리 프로세스 수행
- 서비스 약관 위반(ToS violations) 기반의 리포지토리 접근 즉시 차단 및 CI/CD 파이프라인 강제 중단
- Token Rotation 미흡으로 인한 재감염 경로 차단 필요성 확인
실천 포인트
1. 개발자 계정의 Token Rotation 주기 단축 및 자동화 여부 점검
2. IDE 및 AI coding tool의 플러그인/설정 파일 실행 권한 제한 설정
3. CI/CD 파이프라인 내 Third-party Action 및 패키지 버전의 고정(Pinning) 및 무결성 검증 도입
4. 공급망 공격 감지를 위한 리포지토리 쓰기 권한 모니터링 강화