슬로우미스트 “깃허브·그래파나 사고, 공급망 공격 관련 가능성”

슬로우미스트는 20일 위협 인텔리전스를 통해 깃허브 토큰 대량 유출과 그래파나랩스 랜섬웨어 공격이 대규모 ‘미니 샌드웜’ 공급망 공격과 관련됐을 가능성이 높다고 밝혔다.

슬로우미스트에 따르면 최근 AntV, Echarts-for-react, 파이썬 SDK durabletask 등 사용 빈도가 높은 패키지가 공격 대상이 됐다. 19일에는 npm 계정 atool이 탈취됐고, 공격자는 22분 동안 317개 패키지에 걸쳐 637개 악성 버전을 자동 배포했다.

또 20일 0시19분부터 0시54분까지 베이징시간 기준 35분 동안 durabletask 1.4.1, 1.4.2, 1.4.3 버전이 잇따라 업로드됐다. 슬로우미스트는 공격자가 일반 배포 통제를 우회하고 마이크로소프트 공식 배포처럼 가장했다고 설명했다.

공격자는 클라우드와 온프레미스 자격 증명 탈취, 내부 저장소 및 민감한 클라우드 인프라 무단 접근, 개발자 시스템과 CI/CD 파이프라인 침투, 유출된 깃허브 토큰 판매·악용 등을 시도할 수 있다.

슬로우미스트는 노출된 자격 증명을 즉시 교체하고, 영향을 받은 패키지를 대체하며, 감염 가능성이 있는 시스템을 격리하고 종속성 검토 정책을 강화할 것을 권고했다.