피드로 돌아가기
Dev.toSecurity
원문 읽기
Co-author 시그니처 및 PID 유출로 적발된 24개 계정 기반 봇넷 분석
Found a Coordinated Inauthentic Network on GitHub: 24 Accounts, Fabricated History, and a Generator That Left Its PID in Three READMEs
AI 요약
Context
GitHub 플랫폼 내에서 LLM 기반 저장소 대량 생성과 가짜 커밋 이력 조작을 통한 신뢰도 획득 시도 발생. 정교한 SEO Poisoning 및 Social Graph 조작으로 실제 개발자 계정으로 위장하여 악성 코드 배포 환경 구축.
Technical Solution
- Co-authored-by 트레일러의 고정된 ID(66867581+hajigur69) 분석을 통한 네트워크 핑거프린트 식별
- 163개 저장소의 LICENSE 파일 SHA-1 해시값 일치를 통해 템플릿 기반 복제 구조 파악
- Jaccard Similarity 0.99 이상의 팔로잉 리스트 분석으로 자동화된 Follow Botnet 클러스터 분류
- 루트 커밋 SHA 분석을 통한 213일간의 타임스탬프 조작 및 Backdated Git History 검증
- README 파일 내 잔존하는 프로세스 ID(PID) 추적으로 자동화 제너레이터 도구의 존재 증명
- 33개 동일 계정의 Star 서비스 반복 패턴 분석을 통한 외부 유료 랭킹 조작 메커니즘 식별
실천 포인트
1. Git Commit Trailer 및 Metadata 내에 고정된 식별자나 운영자 정보가 포함되어 있는지 정기적 검토
2. 대규모 저장소 생성 시 파일 해시값의 중복성을 체크하여 템플릿 기반의 비정상적 복제 여부 확인
3. 계정의 Following/Follower 비율 및 팔로잉 리스트의 Jaccard Similarity를 통한 봇넷 탐지 로직 적용
4. CI/CD 파이프라인 및 자동화 스크립트에서 민감한 환경 변수나 프로세스 정보가 README 등 공개 파일에 포함되지 않도록 Sanitization 프로세스 구축