개발자들의 리포지터리 노리는 새 공격 기법...리포지터리 API 노리기

요약 : 인기 높은 리포지터리 중 하나인 NPM의 API를 노리는 공격 기법이 발견됐다고 보안 외신 해커뉴스가 보도했다. NPM API가 비밀 패키지에 접근하게 해 달라는 요청에 대하여 HTTP 404 오류 메시지를 표시하는 데 걸리는 시간과, 존재하지 않는 패키지에 접근하게 해 달라는 요청에 대한 응답 메시지를 표시하는 데 걸리는 시간을 측정 및 비교함으로써 시작되는 공격 기법이라고 한다. 일종의 타이밍 공격으로, 성공하면 NPM에 저장된 비밀 패키지들을 노출시킬 수 있다. 리포지터리라는 플랫폼에서 활동하는 개발자들이 다시 한 번 위험해질 수 있는 것이다. 


배경 : 최근 개발자들은 코드 리포지터리들을 적극 활용한다. 개발 시간을 단축시킬 수 있다는 큰 장점 때문이다. 해커들은 이를 노리고 리포지터리에 덫을 깔기 시작했다. 여기에 걸려든 개발자는 자기도 모르게 멀웨어를 만들어 퍼트리게 된다. 이는 공급망 공격의 일부다.

말말말 : “리포지터리 사용 비율이 높은 조직이라면 NPM과 같은 플랫폼들을 주기적으로 검사해서 유명 패키지와 비슷한 이름의 패키지가 존재하는지 확인할 필요가 있습니다.” -아쿠아시큐리티(Aqua Security)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>