마이크로소프트 오픈소스 패키지 73개, 자격증명 탈취 코드에 감염

마이크로소프트의 암호학적으로 검증된 오픈소스 패키지들이 지난주 후반 자격증명 탈취 코드를 심는 방식으로 변조됐다. 이 악성코드는 개발자가 AI 코딩 에이전트에서 해당 패키지를 열 때 실행되도록 설계됐다.

여러 보안 연구자에 따르면 깃허브의 자동화 시스템이 악성으로 표시해 차단한 패키지는 모두 73개다. 그런데 깃허브는 이들이 악성이라는 점이나 AI 에이전트로 작업한 개발자는 자신의 시스템이 침해됐다고 가정해야 한다는 점을 알리는 대신, '깃허브 서비스 약관 위반'을 이유로 비활성화했다고만 밝혔다. 이어 패키지 소유자에게 깃허브에 연락하라고 안내했다.

마이크로소프트가 패키지 감염 가능성을 처음 언급한 것은 월요일이었다. 회사는 이메일에서 '잠재적 악성 콘텐츠를 조사하는 동안 일부 저장소를 일시적으로 삭제했다'고 밝혔다.

이번 사건은 두 달 사이 마이크로소프트 공식 저장소 계정을 뚫은 두 번째 공급망 공격이다. 지난 5월 중순 보안업체 스텝시큐리티(StepSecurity)는 PyPI에 올라온 마이크로소프트의 durabletask 파이썬 SDK가 침해된 사실을 기록했다. 이 패키지는 분산 트랜잭션을 비롯한 워크플로를 자동화하는 내결함성 프레임워크로, 월 40만 회 다운로드된다.

변조된 패키지는 28KB 크기의 페이로드를 실행해 AWS, 애저(Azure), 구글클라우드(GCP), 쿠버네티스, 비밀번호 관리자, 그리고 90개가 넘는 개발자 도구 설정에서 자격증명을 탈취한다. 이후 클라우드 인프라를 가로질러 다른 개발자 머신으로 측면 확산한다.

이 공격은 TeamPCP로 추적되는 위협 행위자와 연결됐다. 이들은 패키지 발행에 쓰이는 마이크로소프트 자격증명을 탈취한 뒤 durabletask 패키지를 오염시켰으며, 이 수법은 저장소의 빌드 파이프라인을 통째로 우회하게 해준다.

공격에 쓰인 멀웨어는 'Miasma'로 추적된다. 이는 TeamPCP가 최근 오픈소스로 공개한 'Mini Shai-Hulud' 툴킷을 사실상 복제한 것이다. 보안업체 클라우드스미스(Cloudsmith)는 이 멀웨어가 소프트웨어 무결성을 암호학적으로 보증하는 방식인 SLSA 출처 증명에 쓰이는 OIDC(OpenID-Connect) 토큰 자격증명을 수집한다고 밝혔다.

5월 durabletask 침해 때와 마찬가지로 지난주 공격도 이 기능을 이용해 정상적인 마이크로소프트 OIDC 토큰을 탈취했다. 같은 토큰은 레드햇(Red Hat) 패키지 수십 개를 오염시킨 별도의 공급망 공격에도 사용됐다.