S2W 위협인텔리전스센터 Talon 에서 Unix 계열 및 Windows 운영체제에서 사용되는 오픈소스 압축 유틸리티 XZ Utils 백도어를 대상으로 일어난 공급망 공격을 분석한 보고서를 발행하였습니다.
✅ 보고서 제목:
The XZ Backdoor issue triggered by one untrusted maintainer
✅ 보고서 내용:
- 2024년 3월 29일, Unix 계열 및 Windows 운영체제에서 사용되는 오픈소스 압축 유틸리티인 XZ Utils을 대상으로 하는 공급망 공격이 발생하였으며, 각 리눅스 배포판과 같은 다운스트림이 아닌 XZ Utils 업스트림의 5.6.0–5.6.1 버전에 백도어가 포함되어 유포된 정황이 확인됨.
- 악성코드가 포함된 버전을 릴리즈한 JiaT75 유저는 2022년 2월부터 XZ 레포지토리에 기여하며 얻은 신뢰를 기반으로 maintenance 권한을 획득하였으며, 지난 2년동안 꾸준히 업데이트를 진행함.
- 이후 JiaT75 유저는 XZ 레포지토리에 백도어가 담긴 tarball을 2024년 2월 24일에 릴리즈했으며, 라이브러리 형태로 배포되어 liblzma를 필요로 하는 실행파일에 악성코드가 프로세스에 탑재됨.
- 악성코드는 RSA_public_decrypt의 GOT를 후킹하여 sshd로 수신되는 서명을 중간에서 검증 후 임의의 명령을 실행하는 악성행위를 수행함.
- JiaT75유저의 계정이 탈취되어 공격에 악용되었을 가능성도 생각해 볼 수 있겠지만, 이번과 같은 백도어 삽입을 위해서는 오랫동안 노력했을 가능성이 높음.
- 이번 공격은 중요한 대규모 인프라 프로젝트들이 소수의 Contributor 에 의해 유지되는 오픈소스 프로젝트에 의존함으로써 발생한 사건으로, 현 오픈소스 생태계의 문제점으로 거론되고 있으며 이러한 Contributor 들에 대한 보상 및 리뷰어 확보 등 대책 수립에 대한 논의를 촉발시킴.
🧑💻 보고서 작성자: 최민엽, 최호수, 류소준 | S2W Talon
👉 보고서 전문 보기: https://bit.ly/3xCHbMN