Ars Technica • 32일 전

보안 기업 체크마르크스·비트워든 표적 공급망 해킹 사건의 전말

IMP

8/10

핵심 요약

최근 인기 취약점 스캐너인 Trivy의 공급망 공격을 통해 해커 그룹 TeamPCP가 보안 기업 Checkmarx와 Bitwarden을 연달아 표적으로 삼았습니다. 이 과정에서 탈취된 권한이 랜섬웨어 그룹 Lapsu$에 판매되어 내부 데이터 유출로까지 이어졌습니다. 이 사건은 공급망 내 '보안 도구'가 해킹의 표적이자 악성코드 유포 경로로 악용될 수 있다는 심각한 연쇄 위험을 보여줍니다.

번역된 본문

보안 기업 체크마르크스(Checkmarx)에게 지난 몇 주는 악몽과도 같은 기간이었습니다. 지난 40일 동안 이 회사는 고객들에게 두 차례에 걸쳐 멀웨어를 유포하는 공급망 공격(Supply-chain attack)의 희생양이 되었습니다. 게다가 최근 명성을 쫓는 활동적인 해커들로부터 랜섬웨어 공격까지 받았습니다.

이 불행의 연속은 3월 19일, 널리 사용되는 취약점 스캐너인 Trivy에 대한 공급망 공격으로 시작되었습니다. 해당 침해 사고를 일으킨 공격자들은 먼저 Trivy의 GitHub 계정을 해킹한 뒤, 그 권한을 이용해 Trivy 사용자 중 하나인 Checkmarx에게 멀웨어를 푸시(Push)했습니다. 이렇게 유포된 멀웨어는 감염된 시스템에서 리포지토리 토큰, SSH 키 및 기타 자격 증명(Credentials)을 탈취했습니다.

표적이자 유포 메커니즘이 된 보안 도구 나흘 후인 3월 23일, Checkmarx의 자체 GitHub 계정이 탈취되어 해당 보안 기업의 사용자들에게 멀웨어를 배포하기 시작했습니다. 회사 측은 침해 사고를 통제하고 해결하여 멀웨어를 정상적인 앱으로 교체했다고 밝혔습니다. 적어도 Checkmarx는 그렇게 생각했습니다.

그러나 4월 22일, 회사의 GitHub 계정이 새로운 멀웨어를 푸시하면서 기존의 침해 사고가 완전히 해결되지 않았거나, 새로운 미확인 해킹이 발생했음을 시사했습니다. 회사는 다시 한번 공격자들을 계정에서 몰아내기 위해 노력했습니다. 보안 기업 Socket에 따르면, Checkmarx의 공식 Docker Hub 리포지토리 역시 비슷한 시기에 악성 패키지를 게시했습니다.

이번 주 월요일, Checkmarx는 이 사태에 또 다른 장이 있었음을 공개했습니다. 회사는 랜섬웨어 그룹인 Lapsu$가 지난주 다크웹에 대량의 개인 데이터를 유출했다고 밝혔습니다. 유출된 자료의 타임스탬프는 3월 30일이었습니다. 이 타임스탬프를 기반으로 볼 때, 공격자들은 Checkmarx가 3월 23일에 해킹 사실을 발견한 이후에도 GitHub 계정에 대한 접근 권한을 계속 유지했으며, 이들을 내쫓으려는 시도가 실패한 것으로 보입니다.

Checkmarx는 월요일 성명을 통해 "현재 증거에 따르면 이 데이터가 Checkmarx의 GitHub 리포지토리에서 유출되었으며, 해당 리포지토리에 대한 접근은 2023년 3월 23일의 최초 공급망 공격을 통해 이루어진 것으로 보인다"고 밝혔습니다. 회사는 어떤 종류의 데이터가 유출되었는지에 대해서는 언급하지 않았습니다.

Trivy 침해 사고의 후유증을 겪은 보안 기업은 Checkmarx만이 아닙니다. Socket은 또 다른 보안 기업인 Bitwarden 역시 동일한 공급망 공격을 받았다고 밝혔습니다. Socket은 Bitwarden 침해 사고 당시 사용된 페이로드(Payload)가 Checkmarx 감염에 쓰인 것과 동일한 C2(명령 및 제어) 엔드포인트와 핵심 인프라를 사용했기 때문에 이를 Trivy 공격과 연결 지었습니다.

이번 Trivy 공격은 'TeamPCP'라고 자칭하는 그룹에 의해 수행되었습니다. 이 그룹은 피해자의 자격 증명을 빠르게 탈취하여 다른 해커들에게 되파는 이른바 '액세스 브로커(Access-broker)' 해커 집단 중 가장 성공적인 축에 속합니다. 이들이 급부상할 수 있었던 핵심 요인은 이미 높은 권한을 가지고 있는 도구들을 표적으로 삼는다는 점입니다.

Checkmarx의 경우, TeamPCP가 탈취한 접근 권한을 랜섬웨어 그룹 Lapsu$에 판매한 것으로 보입니다. Lapsu$는 주로 10대로 구성된 그룹으로, 대기업 침해에 탁월한 실력을 갖춘 것은 물론, 공격에 성공하면 조롱과 자랑을 일삼는 것으로도 악명이 높습니다.

이번 사태들은 단일 침해 사고가 얼마나 광범위한 연쇄 반응을 일으킬 수 있는지 보여줍니다. Checkmarx와 Bitwarden이 모두 영향을 받음에 따라, 이들의 고객이나 파트너에 대한 새로운 공격이 이어질 가능성이 있으며, 이로 인해 하위 시스템에 대한 추가적인 침해까지 발생할 수 있습니다.

Socket의 CEO Feross Aboukhadijeh는 이메일 성명을 통해 보안 조직들은 제품이 민감한 데이터와 매우 가까이 있고 인터넷 전반에 널리 분포되어 있기 때문에 특히 표적이 된다고 밝혔습니다. Aboukhadijeh는 "이러한 침해 사고들에는 동일한 맥락이 깔려 있습니다. 공격자들은 보안 도구를 표적이자 유포 메커니즘으로 동시에 활용하고 있습니다. 공급망을 보호해야 할 제품들을 먼저 공격한 뒤, 그 제품들을 이용해 자격 증명을 훔치고 다음 피해자에게로 이동하는 방식입니다"라고 덧붙였습니다.

원문 보기

원문 보기 (영어)

Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav It has been a bad six weeks for security firm Checmarx. Over the past 40 days, it has been the victim of at least one supply-chain attack that delivered malware to customers on two separate occasions. Now it has been hit by a ransomware attack from prolific fame-seeking hackers. The streak of misfortunes started on March 19, with the supply-chain attack of Trivy, a widely used vulnerability scanner. The attackers behind the breach first breached the Trivy GitHub account and then used their access to push malware to Trivy users, one of which was Checkmarx. The pushed malware scoured infected machines for repository tokens, SSH keys, and other credentials. Both a target and delivery mechanism Four days later, Checkmarx’s GitHub account was compromised and began pushing malware to the security firm’s users. The company contained and remediated the breach and replaced the malware with the legitimate apps. Or so Checkmarx thought. On April 22, the company’s GitHub account pushed a new wave of malware, suggesting either that the previous breach hadn’t been fully fixed or that a new, unidentified hack had occurred. The company once again worked to boot the attackers out of the account. According to security firm Socket, the official Checkmarx/kics Docker Hub repo also published malicious packages around the same time. On Monday, Checkmarx disclosed there was another chapter to the saga. The company said that a ransomware group tracked as Lapsu$ last week dumped a tranche of private data onto the dark web. The date stamp of the dumped material was March 30. Based on the date stamp, it appears that the attackers maintained their access to the GitHub account following Checkmarx’s March 23 discovery of the compromise, and attempts to drive them out failed. “Current evidence indicates that this data originated from Checkmarx’s GitHub repositories, and that access to those repositories was facilitated through the initial supply chain attack of March 23, 2023,” Checkmarx said Monday. The company didn’t say what kinds of data were leaked. Checkmarx isn’t the only security company to suffer the aftereffects of the Trivy breach. Socket said that another security firm, Bitwarden, was also hit in the same supply-chain attack. Socket tied the Bitwarden breach to the Trivy campaign because the payload used the same C2 endpoint and core infrastructure as the Checkmarx malware. The Trivy attack was carried out by a group calling itself TeamPCP. The group is among the most successful access-broker operations, a class of hackers that smashes and grabs credentials from victims and then sells them to other hackers. The key to its ascendency is its targeting of tools that already have privileged access. In the case of Checkmarx, it appears TeamPCP sold access credentials to Lapsu$, a ransomware group made up mostly of teenagers known as much for its skill in breaching large companies as its taunts and braggadocio once it succeeds. The incidents demonstrate the cascading effects a single breach can have. With both Checkmarx and Bitwarden affected, it’s possible that there will be new attacks on their customers or partners, and that even more downstream compromises could result from those. Socket CEO Feross Aboukhadijeh said in an email that security organizations are particular targets because of their products’ close proximity to sensitive data and their wide distribution across the Internet. “You will see this same thread throughout these compromises,” Aboukhadijeh said. “Attackers are treating security tools as both a target and a delivery mechanism. They are attacking the products that are supposed to protect the supply chain, then using those same products to steal credentials and move to the next victim.” Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 4 Comments

공급망 공격 랜섬웨어 보안 취약점 깃허브(GitHub) 정보 유출