5,561개 Repo 대상 CI/CD 자격 증명 탈취형 Supply Chain 공격 발생

Context

GitHub Repository의 권한 관리 허점을 이용해 CI/CD 파이프라인 내부로 악성 코드를 주입하는 Supply Chain 공격 사례 분석. 신뢰 기반의 자동화 배포 프로세스가 공격자의 악성 커밋 병합 시 내부 Secret에 무방비하게 노출되는 구조적 한계 노출.

Technical Solution

• Compromised PAT 또는 Deploy Key를 이용해 PR 과정 없이 Master Branch에 직접 악성 커밋을 푸시하는 공격 경로 확보
• CI/CD 파이프라인 실행 시 AWS Secret Key, GCP Access Token, Azure Metadata 등 클라우드 인프라 자격 증명을 자동으로 스캔하는 로직 수행
• 30가지 이상의 Secret Regex Pattern을 적용하여 소스 코드 내 민감 정보와 SSH Private Key, Vault Token 등을 정밀하게 탐색
• 탈취한 GitHub Token 및 Cloud Identity 정보를 외부 서버로 Exfiltrate 하여 개발자 권한을 완전히 탈취하는 메커니즘 구축
• build-bot 및 ci-bot 등 자동화 시스템을 모방한 가짜 User Identity를 설정하여 관리자의 의심을 회피하는 기만 전략 적용

Impact

• 총 5,561개의 GitHub Repository 감염 및 Tiledesk 등 다수 오픈소스 프로젝트 영향
• 6시간(11:36 ~ 17:48 UTC)이라는 단기간 내 5,719건의 악성 커밋을 통한 대규모 자동화 공격 수행