최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- Novee의 보안 연구원들은 Microsoft, Google, Apache, Cloudflare 및 Python Software Foundation의 저장소에서 300개 이상의 취약점이 있는 CI/CD 워크플로 체인을 발견했습니다.
- 이러한 결함으로 인해 GitHub Actions 워크플로 파일 간의 틈을 통해dent증명 도용, 코드 삽입 및 공급망 침해가 발생했습니다.
- 공개된 모든 취약점은 패치되었지만, AI 코딩 에이전트가 수백만 개의 저장소에서 동일한 불안정한 패턴을 재현하고 있습니다.
보안 회사인 노비는 코디셉스(Cordyceps)라는 취약점이 오픈 소스 저장소 전반에 걸쳐 발견되었으며, 이를 악용하면 공격자가dent증명을 탈취하고 악성 코드를 배포하며 세계 최대 소프트웨어 기업들의 운영을 침해할 수 있다고 밝혔습니다.
이러한 취약점은 마이크로소프트, 구글, 아파치, 클라우드플레어, 파이썬 소프트웨어 재단 등의 저장소에서 발견되었으며, 해당 기업들은 모두 이를 수정했다고 주장했습니다.
동충하초의 취약점은 무엇인가요?
보안 회사인 Novee는 CI/CD 파이프라인에서 "코르디셉스(Cordyceps)"라고 명명한 위험한 새로운 유형의 취약점을 발견했습니다. " 코르디셉스 "라는 이름은 숙주를 장악하는 기생 곰팡이에서 유래했는데, 이 취약점은 무료 GitHub 계정만 있으면 누구나 인기 있는 오픈 소스 프로젝트를 장악할 수 있도록 허용하기 때문입니다.
해당 취약점은 마이크로소프트, 구글, 아파치, 클라우드플레어, 파이썬 소프트웨어 재단 등의 저장소에서 발견되었습니다. 3만 개의 저장소를 한 번 스캔한 결과, 300개의 완벽하게 악용 가능한 공격 경로가 드러났습니다.
탈취하고dent, 악성 코드를 삽입하며, 소프트웨어 공급망을 . 이러한 문제들은 수정되었지만, 연구원들은 AI 코딩 도우미가 수백만 개의 저장소에서 이러한 취약점을 계속해서 재현할 것이라고 경고합니다.
GitHub Actions 워크플로는 테스트 실행, 소프트웨어 빌드, 릴리스 게시와 같은 중요한 작업을 처리하지만, 보안에 중요한 코드라기보다는 단순한 구성 파일로 취급되는 경우가 많습니다.
공격은 일반적으로 외부인(무료 GitHub 계정을 가진 사람이라면 누구나 해당될 수 있음)이 공개 저장소에 풀 리퀘스트를 제출하거나 댓글을 남기는 것으로 시작됩니다. 그러면 외부인의 입력을 신뢰할 수 있는 데이터처럼 받아들이는 권한이 낮은 워크플로가 활성화됩니다.
여기서부터 출력은 관리자 권한으로 실행되는 두 번째 워크플로로 전달됩니다. 이 두 번째 워크플로에는 클라우드 공급자 인증 토큰, 패키지 레지스트리dent증명 또는 서명 키가 포함될 수 있습니다. 이 시점에서 공격자는 만료되지 않는 토큰을 탈취하거나 저장소를 영구적으로 손상시킬 수 있습니다.
보안 연구원들에 따르면, 이러한 과정의 각 단계는 개별적으로는 보안 감사를 통과할 수 있습니다. 취약점은 신뢰할 수 없는 데이터가 워크플로 전달 과정 전체를 따라 이동하는 경로를 trac때만 드러납니다.
해당 취약점의 영향을 받은 주요 기업은 어디였습니까?
Novee는 세계 최대 기술 기업들에서 확인된 취약점을 발견하고 보고했습니다.
예를 들어 마이크로소프트의 Azure Sentinel에는 공격자가 마이크로소프트의 CI 인프라에서 코드 실행을 트리거하고 만료되지 않는 GitHub 앱 키를 탈취할 수 있는 풀 리퀘스트 댓글이 포함되어 있었습니다. 이 키를 사용하면 마이크로소프트가 고객의 Sentinel 워크스페이스에 배포하는 보안 탐지 콘텐츠에 대한 영구적인 쓰기 액세스 권한이 부여됩니다.
9,200개 이상의 GitHub 스타를 보유한 Google의 AI 에이전트 개발 키트 저장소에서 공격자가 단 하나의 풀 리퀘스트만으로 관련 Google Cloud 프로젝트에서 최고 권한(역할/소유자)을 획득할 수 있는 결함이 발견되었습니다.
아파치 도리스 애널리틱스 데이터베이스에서 연구원들은 두 가지 제로 클릭 공격 경로를 발견했습니다. 하나는 모든 풀 리퀘스트에 댓글을 달아 하드코딩된 CIdent정보를 탈취하는 것이었고, 다른 하나는 포크된 풀 리퀘스트를 통해 코드, 패키지, 페이지 전반에 걸쳐 완전한 쓰기 권한을 가진 토큰을 탈취하는 것이었습니다.
Wrangler CLI 툴체인을 기반으로 구축된 Cloudflare의 Workers SDK는 특수하게 조작된 브랜치 이름을 통해 임의의 명령 실행을 유발하는 취약점을 가지고 있었습니다.
1억 3천만 건 이상의 다운로드를 기록한 파이썬 소프트웨어 재단의 블랙 코드 포맷터에서 결함이 발견되었습니다. 이 결함으로 인해 모든 풀 리퀘스트가 프로젝트의 자동화 봇 토큰을 탈취할 수 있었고, 탈취된 토큰을 통해 다른 풀 리퀘스트를 승인할 수 있었습니다.
Novee는 Dark Reading과의 인터뷰에서 패치가 적용되기 전에는 이러한 워크플로우 패턴이 악용된 적이 없다고 확인했습니다.
메게드는 CISO가 CI/CD 워크플로 파일을 보안상 중요한 코드.
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
자주 묻는 질문
사이버 보안 맥락에서 동충하초란 무엇일까요?
Cordyceps는 Novee Security가 CI/CD 워크플로 취약점 유형에 붙인 이름으로, 신뢰할 수 없는 입력(예: 풀 리퀘스트 또는 댓글)이 GitHub Actions 워크플로 파일 간의 신뢰 경계를 넘어 침투하여 공격자가 무료 GitHub 계정만으로dent증명을 탈취하거나 코드를 삽입할 수 있도록 합니다.
코디셉스 취약점 중 패치되기 전에 악용된 사례가 있었습니까?
Novee는 Dark Reading과의 인터뷰에서 수정 사항이 적용되기 전에는 공개된 워크플로 패턴이 악용되지 않았으며, 공격자가 해당 패턴을 대규모로 사용했다는 증거도 없다고 확인했습니다.
동충하초로 인해 어떤 조직들이 피해를 입었습니까?
Novee는 Microsoft(Azure Sentinel), Google(AI Agent Development Kit), Apache(Doris), Cloudflare(Workers SDK) 및 Python Software Foundation(Black formatter)의 저장소에서 악용 가능한 공격 체인을 검증했으며, 해당 저장소와 저장소 모두 이후 수정 사항을 적용했습니다.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.tron권장합니다dent .
한나 콜리모어
한나는 암호화폐 분야에서 10년 가까이 블로그를 운영하고 행사를 취재해 온 작가 겸 편집자입니다. Cryptopolitan에서 뉴스 페이지에 기고하며, 탈중앙화 DeFi), 반응형 웹 자산(RWA), 암호화폐 규제, 인공지능(AI) 및 첨단 기술 산업의 최신 동향을 보도하고 분석합니다. 아카디아 대학교에서 경영학 학위를 받았습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)