PR의 사각지대, Build Config 파일에 숨겨진 공급망 공격 수법과 방어 전략

Context

빌드 설정 파일은 PR 리뷰 시 검토 대상에서 제외되는 경향이 큼. GitHub UI 특성상 설정 파일이 화면 하단으로 밀려 리뷰어의 시야에서 벗어남. 공격자는 이 허점을 이용해 신뢰받는 기여자 계정으로 악성 코드를 주입하는 공급망 공격을 수행함.

Technical Solution

• next.config.mjs, vue.config.js 등 빌드 설정 파일 내에 난독화된 JavaScript 코드를 삽입하는 은닉 전략
• 페이로드의 지속성 확보를 위해 중앙 집중식 서버 대신 Binance Smart Chain(BSC) 분산 저장소 활용
• Socket.io 기반 C2 채널을 포트 80으로 설정하여 일반적인 HTTP 트래픽으로 위장하고 환경 변수 탈취
• webpack.config.js 등에 페이로드를 분할 주입하여 정적 분석을 우회하는 단계적 활성화 구조
• babel.config.js에 커스텀 플러그인을 삽입하여 빌드 타임에 백도어를 자동으로 생성하는 런타임 변조 방식
• 지속적인 패턴 업데이트가 적용된 자동 스캐닝 도구를 CI/CD 파이프라인에 통합하여 탐지 자동화

Key Takeaway

인적 신뢰와 UI의 한계가 보안 취약점이 될 수 있음을 인지하고, 모든 코드 변경 사항에 대해 자동화된 정적 분석과 런타임 네트워크 필터링을 결합한 다층 방어 체계를 구축해야 함.