DevOps 생태계를 뒤흔드는 새로운 위협이 등장했습니다. GitHub에서 인기 있는 Actions 태그가 악성 커밋으로 리디렉션되는 사칭 공격이 감지되었습니다. 목표는 널리 사용되는 구성 요소에 대한 맹목적인 신뢰를 악용하여 지속적인 통합 및 배포 자격 증명을 탈취하는 것입니다.
공격 메커니즘: 파이프라인 참조 수정 🛡️
공격자는 GitHub Actions 태그의 참조를 변경하여 가짜 버전을 가리키도록 했습니다. 파이프라인이 실행되면 악성 코드가 의심을 받지 않고 활성화되어 저장소 비밀에 저장된 액세스 토큰과 SSH 키를 추출했습니다. 이 방법은 소프트웨어 공급망의 일반적인 사각지대인 종속성의 무결성 검증 부족을 악용합니다. 즉각적인 해결책은 이동 태그 대신 SHA 해시를 사용하는 것입니다.
맹목적 신뢰: 현대 개발자의 취미 생활 🤦
묻지도 않고 GitHub 태그에 모든 믿음을 거는 것은 시동이 걸린 상태에서 차 키를 꽂아두는 것과 같습니다. 공격자들은 우리가 간편한 v1.2.3을 좋아한다는 것을 알고 있으며, 자격 증명 도난으로 우리에게 되갚아주었습니다. 이제 SHA 커밋을 읽는 법을 배우거나, 적어도 Stack Overflow에서 복사한 내용을 조금 더 의심해야 할 때입니다.