[데일리시큐]인공지능 도구 활용한 엔엑스 ‘싱귤래리티’ 공급망 공격, 계정 토큰·비밀정보 수천 건 유출 파장

내용 요약

오픈소스 빌드 도구 Nx가 3단계 해킹에 걸려 2,180개 계정·7,200개 저장소에서 수천 개의 토큰과 비밀정보가 유출됐습니다. 유출된 비밀들이 여전히 유효해 피해가 계속 확대될 가능성이 큽니다.

핵심 포인트

• Nx가 주로 사용되는 자바스크립트/타입스크립트 모노레포 환경에서 대규모 다운로드(주간 550만 건)와 함께 핵심 빌드 도구로 자리 잡고 있음.
• 3단계 공격을 통해 계정 토큰·비밀을 대량 탈취, 2,180개 계정과 7,200개 저장소가 동시에 영향을 받음.
• 유출된 비밀 정보가 유효한 상태로 남아 있어, 공격이 종료된 이후에도 지속적인 피해가 우려됨.

기술 세부 내용

1️⃣ Nx (Monorepo Management & Build Tool)

• 기능: 여러 프로젝트를 하나의 저장소에 묶어 관리(모노레포), 빌드, 테스트, 배포를 통합 지원.
• 언어 & 플랫폼: 자바스크립트/타입스크립트 기반이며, Node.js와 npm 에코시스템과 밀접하게 연결.
• 배포: npm registry에 공개되어 있으며, 주간 다운로드 수가 550만 건을 넘어 대규모 커뮤니티를 보유.
• 특징:
  • workspace 구분: 앱, 라이브러리, 도구를 프로젝트 별로 분리해 모듈화.
  • 스캐폴딩 & 타스크 실행: nx run 혹은 nx affected 명령으로 필요한 작업만 선택 실행.
  • 코드 공유: 중복을 최소화하고 버전 충돌을 방지하는 내부 캐시 및 버전 관리.
• 보안 이슈: 패키지 의존성에 포함된 비밀(예: API 토큰, IAM 키)이 잘못된 저장소 설정으로 외부에 노출될 위험이 있음.

2️⃣ 세 단계 공격 구조 & 유출 영향

1️⃣ 초기 접근
- 취약점 탐색: 공공 저장소의 공개 리포지터리에서 민감 정보(예: GitHub Secrets) 탐지.
- 권한 상승: 비공개 조직에 대한 OAuth 토큰 탈취 시도.

2️⃣ 권한 확장 & 데이터 수집
- 다중 계정 동원: 탈취된 토큰을 활용해 대량의 계정으로 조직 접근 권한 확보.
- 비밀 수집: secrets, .env, CI/CD 설정 파일 등에서 토큰·키를 수집.

3️⃣ 데이터 유출 & 지속적 위험
- 대규모 다운로드: 수집된 비밀을 외부 저장소(예: private GitHub Gist, S3)에 업로드.
- 유효성 검사: 토큰·비밀의 만료 여부를 확인한 뒤 유효한 것만 보유, 비활성화 여부를 검증하지 않음.
- 영향 범위: 2,180개 계정·7,200개 저장소가 동시에 노출, 실제 운영 서비스에 대한 접근이 가능해졌음.

대응 조치
- 비밀 재발급: 토큰, API 키, IAM 자격 증명을 즉시 재생성.
- 접근 권한 점검: 최소 권한 원칙(least privilege) 적용 및 접근 로그 분석.
- 보안 정책 강화: secrets 및 환경 변수 파일에 대한 자동 스캐닝 도구 도입.
- 지속 모니터링: 비밀이 다시 유출되는지를 주기적으로 검사하고, 의심스러운 활동을 탐지.

위 과정을 통해 Nx 기반 프로젝트에서 발생한 보안 사고의 원인과 영향, 그리고 적절한 대응 방안을 한눈에 파악할 수 있습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200110