피드로 돌아가기
The RegisterSecurity
원문 읽기
GitHub API 기반 C2 인프라 제거 및 473개 패키지 오염
Miasma worms its way onto GitHub as attack kit goes open source
AI 요약
Context
기존의 네트워크 기반 탐지 도구는 트래픽 베이스라인과 Anomaly Detection에 의존하는 한계점 존재. 공격자가 별도의 C2 서버 없이 GitHub 플랫폼 자체를 제어 센터로 활용하는 새로운 공격 벡터의 등장으로 기존 방어 체계 무력화.
Technical Solution
- GitHub Public Commit Search API를 활용한 서버리스 C2 아키텍처 설계
- 세 개의 독립적인 Search Channel을 구축하여 명령 제어, 데이터 탈취, 지속성 유지를 분리함
- AES-256-CBC 암호화를 통한 PAT(Personal Access Token) 보호로 데이터 Exfiltration의 은밀성 확보
- JavaScript eval() 함수를 통한 런타임 페이로드 실행으로 즉각적인 Remote Command Execution 구현
- Python 스크립트 URL 기반의 Persistent Monitor 구조를 통한 지속적인 시스템 감시 체계 구축
- 각 채널별 독립적인 검증 및 복호화 키 적용으로 단일 채널 침해 시 전체 시스템 붕괴 방지
실천 포인트
1. GitHub Actions 및 Repository 내의 비정상적인 API 호출 패턴 모니터링 체계 구축
2. PAT 등 민감 정보의 유출 방지를 위한 Secret Scanning 및 정기적 Rotation 적용
3. 외부 스크립트 실행 시 eval() 사용을 제한하고 신뢰 가능한 소스 검증 로직 도입
4. Supply-chain 보안 강화를 위한 Package Management Guard(PMG) 등 의존성 검증 도구 검토