피드로 돌아가기
GeekNewsSecurity
원문 읽기
Red Hat Cloud Services 전반에서 악성 npm 패키지 발견
CI/CD 파이프라인 침해로 인한 32개 npm 패키지 및 95개 버전 오염 사례
AI 요약
Context
GitHub Actions OIDC 기반 배포 파이프라인의 권한 탈취로 인해 @redhat-cloud-services 스코프 내 패키지들이 대규모로 오염됨. 신뢰 기반의 자동화 배포 체계가 공격자의 통제하에 놓이면서 정식 서명된 악성 패키지가 배포되는 Supply Chain Attack의 전형적인 한계를 드러냄.
Technical Solution
- Release Cooldown 도입을 통한 신규 버전 설치 지연 전략으로 초기 배포 단계의 악성 코드 실행 차단
- min-release-age 설정을 통한 N일 미만 릴리스 패키지 무시 로직 구현으로 탐지 및 삭제 시간 확보
- 정적·동적 코드 분석을 통한 Shell 실행, SSH 키 접근, Network 통신 등 침해 지표(IoC) 스캔 체계 구축
- Trusted Publishers 및 Staged Publishing 도입으로 CI 자동 배포 전 유지보자의 MFA 승인 단계 강제
- Security Fix와 일반 Feature Release를 분리하여 보안 패치에 대해서만 쿨다운 우회 경로를 제공하는 차등 적용 설계
- 상류(Upstream) 소스를 직접 신뢰하지 않고 내부적으로 검토 및 패키징하는 2차 인간 계층(Human Layer) 검증 프로세스 지향
실천 포인트
- .npmrc 파일에 min-release-age=5 설정 추가하여 최신 버전의 즉각적 반영 억제 - CI 배포 파이프라인에 MFA 기반의 Staged Publishing 또는 Environment Protection 적용 - 의존성 트리 단순화를 위해 불필요한 마이크로 패키지 제거 및 필요한 기능의 내부 구현(In-house) 검토 - 개발 환경을 Container 또는 Sandbox로 격리하여 의존성 설치 단계의 호스트 OS 권한 탈취 방지