SlowMist CISO "ClawHub 개발자, GitHub 원클릭 로그인 피싱·자격 증명 유출 주의"

SlowMist Technology 최고 정보보안책임자(CISO) 23pds가 ClawHub 개발자들에게 GitHub 연동 로그인 사용 시 피싱 및 자격 증명 유출 위험에 각별한 주의를 당부했다.

PANews에 따르면 ClawHub는 현재 개발자들이 GitHub 계정을 통해 원클릭 로그인하는 방식을 쓰고 있다. 그런데 이전에 발견된 Sha1-Hulud 웜이 이미 다수 개발자의 GitHub 자격 증명을 탈취한 바 있어, 공격자들이 이를 이용해 ClawHub를 겨냥할 수 있다는 경고다.

23pds는 예상 공격 시나리오를 다음과 같이 설명했다. 먼저 피싱이나 악성코드를 통해 개발자의 GitHub 자격 증명이 탈취된다. 이후 공격자가 해당 GitHub 권한을 활용해 개발자 계정으로 ClawHub에 로그인한다. 그런 다음 백도어를 심은 악성 스킬을 게시하고, 사용자가 이 스킬을 다운로드·설치하면 시스템이 침입당하는 구조다.

이번 경고는 GitHub 계정을 기반으로 하는 개발 플랫폼 전반에서 자격 증명 관리와 2단계 인증, 로그인 이력 점검 등 보안 조치가 필요하다는 점을 재차 상기시키는 내용이다.

기사점수: 1