타이포스쿼팅 공급망 공격: 실수가 아닌 실수

타이포스쿼팅은 더 이상 URL을 잘못 입력하는 순진한 사람들을 위한 사기가 아닙니다. 이제 공격자는 인기 있는 소프트웨어 라이브러리와 거의 동일한 도메인 이름을 등록합니다. 개발자가 패키지를 설치할 때 오타를 내면, 지속적 통합 시스템이 아무도 모르게 악성 코드를 다운로드합니다. 문제는 한 사용자에서 전체 공급망으로 확대됩니다.

소프트웨어 공급망 공격 시각화, 터미널에서 패키지 이름을 입력하는 개발자, 한 글자 오타, CI 파이프라인에 의해 자동으로 다운로드되는 악성 npm 패키지, 유사한 이름을 보여주는 패키지 저장소 인터페이스, 숨겨진 멀웨어 의존성이 있는 코드 저장소, 한 개발자에서 여러 서버로 감염이 퍼지는 네트워크 다이어그램, 영화 같은 기술 일러스트레이션 스타일, 진한 파란색과 빨간색 색 구성표, 녹색 텍스트가 빛나는 터미널 화면, 미세한 빨간색 광택으로 강조된 오타, 손상된 단계를 보여주는 파이프라인 워크플로 아이콘, 사실적인 엔지니어링 시각화, 극적인 로우 앵글 조명, 초고해상도 키보드 및 모니터 요소, 잘못 입력된 명령어에 선명한 초점

공격자가 자동화된 프로세스를 악용하는 방법 🔍

공격자는 npm이나 PyPI와 같은 공개 저장소에 requests 대신 requets와 같은 이름으로 패키지를 게시합니다. 사람의 감독 없이 설치를 실행하는 CI/CD 도구는 완벽한 표적입니다. 각 의존성을 확인하지 않기 때문에 시스템이 악성 패키지를 다운로드합니다. 일단 침투하면 코드는 자격 증명을 훔치거나, 백도어를 주입하거나, 최종 바이너리를 수정할 수 있습니다. 이름이 합법적인 것과 거의 동일하기 때문에 탐지가 어렵습니다.

잘못 입력하여 백도어를 배포한 개발자 🛠️

졸린 개발자가 colorful-stuff 대신 pip install collerful-stuff를 입력하는 상황을 상상해보세요. 그의 CI는 묻지도 않고 기꺼이 받아들입니다. 악성 패키지가 설치되어 공격자에게 인사하고 프로덕션 데이터베이스에 대한 개인 VPN을 열어줍니다. 단 한 글자 차이 때문입니다. 최악의 경우 개발자는 키보드 탓을 하지만, 진짜 원인은 올바른 이름과 비슷한 모든 이름을 맹목적으로 신뢰하는 시스템입니다.