로그프레소, 공급망 기반 웜 악성코드 ‘샤이 훌루드’ 확산 경고

[디지털투데이 황치규 기자]클라우드 SIEM 전문기업 로그프레소는 최근 확산 중인 ‘샤이 훌루드(Shai-Hulud)’ 공급망 공격이 국내 개발자 환경에도 영향을 줄 수 있다며 28일 각별한 주의를 당부했다.

‘샤이 훌루드’는 프랭크 허버트(Frank Herbert) SF 소설 ‘듄(Dune)’에 등장하는 거대 사막 벌레 이름에서 따온 명칭으로, 감염된 개발자의 환경을 기반으로 다른 패키지에 자기 복제를 수행하는 공급망 기반 웜 악성코드다.

로그프레소 측은 최근 소프트웨어 공급망 공격(Supply Chain Attack) 위협이 급격히 증가하는 가운데, NPM 생태계를 노린 샤이 훌루드 웜의 대규모 공격이 연이어 확인되고 있다고 전했다.

회사 측에 따르면 해당 악성코드는 정상적인 NPM 패키지로 위장해 설치되며, 개발자 PC 각종 크리덴셜·토큰을 수집해 깃허브(GitHub)에 자동 업로드하고 감염된 NPM 패키지를 게시해 자가 복제하는 방식으로 동작한다. 현재까지 감염된 NPM 패키지 수는 700개 이상, 무단으로 생성되거나 침해된 것으로 파악되는 깃허브 저장소는 2만5000개 이상으로 파악돼 피해 확산이 우려된다고 로그프레소는 전했다.

로그프레소는 자사 블로그에 샤이 훌루드 공격 △패키지 설치 방식 △크리덴셜 탈취 로직 △깃허브 자동 생성·업로드 동작 △자기 복제 메커니즘 등을 분석한 기술 리포트 및 대응 가이드를 공개했다. 아울러 깃허브의 엔터프라이즈 감사 로그를 수집해 사용자가 의도하지 않은 퍼블릭 저장소 생성 여부를 탐지할 수 있도록 지원하고 있다.

양봉열 로그프레소 대표는 “이번 공격은 개발자가 인지하지 못하는 사이에 자동으로 퍼지고 계정을 탈취한다는 점에서 특히 위험하다”며 “오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 면밀히 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있다”고 말했다.