✅ 보고서 제목: 메가로돈(Megalodon): GitHub 대상 대규모 공급망 공격 캠페인
✅ 보고서 요약:
- 2026년 5월 21일, GitHub를 대상으로 수행된 대규모 공급망 공격 캠페인인 Megalodon이 식별되어 상세 분석을 진행했습니다.
- SafeDep와 OX Security에 따르면 해당 캠페인은 약 6시간 동안 약 5,500개 이상의 GitHub 저장소에 악성 파일을 커밋했습니다.
📌 악성코드 유포 과정 및 영향도는 어떻게 되나요?
- 공격자는 정상 GitHub 저장소를 침해하여 Action 워크플로우 파일을 변조했습니다.
- 변조된 저장소의 GitHub Action 워크플로우를 이용하는 사용자가 Run Workflow를 클릭하거나 API를 통해 실행할 경우 변조된 페이로드가 실행되었습니다.
- 해당 페이로드가 실행될 경우 코드가 실행된 시스템 내 자격 증명 정보, 클라우드 서비스의 자격 증명 등 광범위한 자격 증명 탈취를 수행하며, 이는 공격자가 제어하는 C2 서버로 전송되었습니다.
- 최종적으로 공격자는 탈취한 자격 증명을 활용하여 추가 시스템에 대한 접근 및 변조와 같은 추가 공격 행위를 수행할 수 있습니다.
📌 악성코드 상세 분석
- 공격자에 의해 변조된 악성 워크플로우는 실행 시 Base64로 인코딩된 페이로드를 실행합니다.
- 복호화된 페이로드는 실행 시 임시 디렉터리를 생성하고 시스템 내 환경 변수, 인증 토큰, AWS와 관련된 자격 증명, 시크릿 파일 등 피해 시스템 내 광범위한 민감 정보를 수집합니다.
- 수집된 민감 정보는 POST 요청으로 C2 서버에 전송됩니다.
- 자격 증명 및 정보 탈취가 수행된 이후 'trap "rm -rf '$TMP_DIR'" EXIT' 명령어를 통해 명령어 실행 결과를 저장하기 위해 사용되었던 임시 디렉터리를 삭제합니다. 이는 추후 포렌식 과정에서 식별될 수 있는 흔적을 최소화하기 위한 과정으로 판단됩니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
- 해당 악성코드는 실행 시 소스코드 저장소, CI/CD 환경 등 광범위한 자격 증명을 수집하므로 감염 시 공격 범위가 확대될 수 있으며, 내부 시스템에 대한 추가 침해가 이루어질 수 있습니다.
- 이에 저장소 및 CI/CD 환경에 대한 무결성 검증, 장시간 사용 중인 토큰의 주기적인 교체, 시스템 내 자격 증명 저장 최소화 등의 대응 방안이 필요합니다.
- 해당 악성코드에 감염된 징후가 식별될 경우 노출 가능성이 존재하는 모든 자격 증명에 대해 즉시 폐기 및 재발급 과정을 수행해야 합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.