github

슬로우미스트(SlowMist)가 보안 경고를 발표했습니다. @redhat-cloud-services와 관련된 소프트웨어 패키지를 목표로 하는 활성 npm 공급망 공격이 감지되었습니다. 현재 31개 이상의 패키지가 영향을 받는 것으로 확인되었으며, 주간 다운로드 수는 약 116,000회에 달하고, 300개 이상의 GitHub 저장소에서 도난당한 자격 증명이 존재합니다. 이 공격 기법은 이전의 "Shai-Hulud" npm 공격과 매우 유사하며, 자격 증명 탈취, 악성 저장소 생성 및 자동화된 비밀 유출을 포함합니다. 현재도 새로운 의심스러운 저장소가 지속적으로 나타나고 있어 공격이 계속 진행 중임을 나타내며, 개발자들이 지속적으로 감염되고 있습니다.잠재적 위험에는 GitHub/npm 토큰 도난, AWS/GCP/Azure 클라우드 자격 증명 유출, SSH 키 및 Kubernetes 비밀 수집, 로컬 환경 및 지갑 데이터 유출, 악성 저장소 생성 및 지속적인 작업, 심지어 토큰이 해지된 후 파괴적인 행동을 유발할 수 있는 가능성이 포함됩니다. 영향을 받는 @redhat-cloud-services 패키지 버전을 즉시 제거하거나 다운그레이드하고, CI/CD 워크플로우 및 의존성 설치를 전면 감사하며, 모든 GitHub, npm, 클라우드 서비스, SSH 및 지갑 관련 키를 교체하고, 로그를 보관하며, 깨끗한 이미지에서 노출된 개발자 머신이나 러너를 재구성하고, 높은 경계를 유지할 것을 권장합니다.

GoPlus의 모니터링에 따르면, 해커 조직 TeamPCP가 GitHub 내부의 약 4000개 개인 저장소의 소스 코드를 확보했다고 주장하며, 이를 지하 포럼에서 5만 달러에 판매하고 샘플 검증을 지원한다고 합니다. 만약 아무도 구매하지 않으면, 이후 이 데이터가 무료로 공개될 가능성이 있습니다.이전에 GitHub 공식은 이번 "내부 저장소의 무단 접근" 문제를 조사하고 있다고 확인했으며, GitHub 직원의 장치에 악성 VS Code/AI Coding 플러그인이 설치된 것으로 의심되고 있습니다.

최근 여러 고빈도 npm 패키지, AntV 및 Echarts-for-react와 Python SDK durabletask가 Mini Shai-Hulud "미니 샤이 훌루드" 공급망 공격을 받았다는 위협 정보가 느린 안개에 의해 발표되었습니다. npm 계정 atool이 해킹당했으며, 공격자는 22분 만에 637개의 악성 버전을 자동으로 게시하였고, 이는 317개의 패키지와 관련이 있습니다. 공격자는 35분 내에 durabletask 1.4.1, 1.4.2 및 1.4.3 버전을 연속으로 업로드하여 정상적인 게시 제어를 우회하고 마이크로소프트 공식 게시물로 가장했습니다.GitHub 토큰 대규모 유출 사건과 Grafana Labs의 랜섬웨어 공격은 이 공급망 공격과 관련이 있을 가능성이 높습니다. 영향을 받은 구성 요소에는 npm 생태계의 AntV, Echarts-for-react와 같은 고빈도 구성 요소 및 Python 패키지 durabletask 1.4.1, 1.4.2 및 1.4.3이 포함됩니다. 공격자는 클라우드 및 로컬 자격 증명을 탈취하고, 내부 저장소 및 민감한 클라우드 인프라에 무단으로 접근하며, 개발자 머신 및 CI/CD 파이프라인으로 수평 이동하고, 유출된 GitHub 토큰을 판매 및 활용하며, 랜섬 및 데이터 유출 위협을 실행할 수 있습니다.느린 안개는 모든 노출된 자격 증명을 즉시 교체하고, 영향을 받은 패키지를 교체하며, 감염될 가능성이 있는 시스템을 격리하고, 엄격한 의존성 검토 정책을 시행할 것을 권장합니다. 이전 소식에 따르면, "미니 샤이 훌루드" 웜이 최근 오픈 소스 코드 저장소에서 대규모 감염을 완료했으며, 개발자는 점검에 주의해야 합니다.

GitHub는 내부 저장소에 대한 무단 접근 사건의 조사 세부 사항을 업데이트했습니다: GitHub는 어제 직원 장치가 침해된 사건을 감지하고 통제했으며, 이 사건은 악성 프로그램이 심어진 VS Code 확장과 관련이 있습니다. GitHub는 악성 확장 프로그램을 제거하고 영향을 받은 단말기를 격리했으며 즉시 사건 대응을 시작했습니다. 현재 평가에 따르면, GitHub 내부 저장소에서만 데이터 유출이 발생했으며, 공격자가 주장한 약 3800개의 저장소 수는 조사 결과와 대체로 일치합니다. GitHub는 주요 자격 증명을 우선적으로 교체했으며, 로그를 분석하고 자격 증명 교체를 검증하며 후속 활동을 모니터링하고 있습니다. 조사가 완료되면 전체 보고서를 발표할 예정입니다.또한, 느린 안개(慢雾)의 최고 정보 보안 책임자 23pds는 이 사건에 대해 다음과 같이 언급했습니다: "네트워크 범죄 포럼의 폭로를 분석한 결과, 해커는 Anthropic의 Mythos 보안 AI를 사용하여 GitHub의 방어선을 정확하게 뚫고 약 4000개의 핵심 내부 저장소를 훔쳤을 가능성이 있습니다: 여기에는 Copilot의 소스 코드, CodeQL의 알고리즘, Actions 런타임 및 전체 청구 시스템 등의 정보가 포함되어 있습니다. 이후 이 코드를 분석하면 다시 공격할 가능성이 있으며, 오픈 소스 커뮤니티에 심각한 보안 영향을 미칠 수 있습니다."

GitHub에서 공개된 내부 코드 저장소의 무단 접근 사건에 대해 자오창펑은 다음과 같이 경고했습니다: "코드에 API Key가 포함되어 있다면, 비공식 저장소에 있더라도 즉시 재검토하고 교체해야 합니다."

GitHub 공식 발표에 따르면, 내부 코드 저장소에 대한 무단 접근 사건을 조사하고 있다고 합니다. GitHub는 현재 GitHub 플랫폼 외부에 저장된 기업, 조직 또는 코드 저장소 데이터에 영향을 미쳤다는 증거는 없지만, 회사는 추가 이상 활동이 발생하지 않도록 인프라를 지속적으로 모니터링하고 있다고 전했습니다.GitHub는 이후 사용자 데이터나 서비스에 영향을 미치는 상황이 확인될 경우, 기존 사건 대응 및 통지 채널을 통해 고객에게 통보할 것이라고 밝혔습니다.

오픈 소스 데이터 시각화 도구 Grafana는 X 플랫폼에 게시하여 최근 승인되지 않은 공격자가 Grafana Labs GitHub 환경에 접근할 수 있는 토큰을 획득하고 이를 통해 코드 저장소를 다운로드한 사실을 발견했다고 밝혔습니다.조사 결과, 이번 사건은 고객 데이터나 개인 정보 유출과 관련이 없으며, 고객 시스템이나 비즈니스 운영에 영향을 미친 사실도 발견되지 않았습니다. 사건 발생 후 즉시 증거 분석을 시작하였으며, 인증서 유출의 원인을 파악한 것으로 보이며, 환경 보호를 강화하기 위해 추가 보안 조치를 배포하였습니다.또한, Grafana는 공격자가 코드 저장소가 공개되는 것을 막기 위해 랜섬을 요구하려 했으나, 회사는 최종적으로 랜섬 지급을 거부하기로 결정하였으며, 조사가 끝난 후 사건 재조명에 대한 추가 정보를 발표할 예정입니다.

텐센트 홍보 이사 장군은 오늘 글을 발표하며 3월 30일 기업 위챗 CLI 오픈소스 프로젝트가 GitHub 커뮤니티에 올라갔으며, 메시지, 일정, 문서, 스마트 양식, 회의, 할 일, 연락처 등 7대 핵심 제품 기능을 개방하고, 주류 AIAgent(예: ClaudeCode, Codex, WorkBuddy, QClaw 등)의 호출을 지원한다고 밝혔다.개발자는 이러한 기능을 기반으로 AIAgent가 기업 위챗 기능을 보다 자연스럽게 이해하고 호출할 수 있도록 하여, 일상 사무 환경에 더 가까운 AI 애플리케이션을 신속하게 개발할 수 있다.

시장 소식에 따르면, 보안 플랫폼 OX Security는 AI 에이전트 프로젝트 OpenClaw의 개발자가 암호화폐 피싱 활동의 표적이 되고 있다고 밝혔습니다.공격자는 가짜 GitHub 계정을 생성하고, 공격자가 제어하는 저장소에서 주제를 시작하며 수십 명의 개발자에게 @를 붙여 5000 달러 CLAW 토큰 보상을 받았다고 주장하고, openclaw.ai와 거의 완전히 동일한 클론 웹사이트로 유도합니다. 이 피싱 웹사이트에는 "지갑 연결" 버튼이 추가되어 있으며, 연결된 지갑 자산을 훔치기 위한 것입니다. 악성 코드는 깊이 혼란스러운 JavaScript 파일에 숨겨져 있으며, 증거 분석을 방해하기 위해 브라우저 로컬 저장 데이터 삭제 기능인 "nuke" 기능을 갖추고 있으며, 지갑 주소, 거래 값 등의 정보를 인코딩하여 C2 서버로 전송합니다. 연구자들은 도난당한 자금을 수신하는 데 사용되는 것으로 의심되는 암호화 지갑 주소를 식별했습니다. 관련 계정은 지난주에 생성되었으며, 몇 시간 내에 삭제되었습니다. 현재 확인된 피해자는 없습니다. OpenClaw는 높은 관심도로 인해 사기꾼의 표적이 되었으며, 그들의 Discord 커뮤니티는 이전에 많은 암호화폐 스팸 메시지를 겪었습니다. 이전 소식에 따르면, OpenClaw 창립자는 OpenClaw 명의로 발송된 암호화폐 사기 이메일에 주의할 것을 경고했습니다.

OpenClaw 창립자 Peter Steinberger는 GitHub의 보안 취약점 보고 프로세스에 여러 가지 문제가 있다고 비판하는 글을 발표했습니다. 그는 현재 취약점 보고가 관리자에게만 접근 권한을 부여하고 있어 팀 내부에서 효과적으로 분배하고 협력하여 처리하기 어렵다고 지적했습니다.또한 GitHub는 취약점 보고에 대한 API 기능이 부족하여 자동화된 프록시를 통해 댓글을 읽거나 게시할 수 없으며, 이는 보안 대응 프로세스의 자동화 능력을 제한합니다. Peter Steinberger는 현재 취약점 보고서에 AI가 생성한 저품질 콘텐츠가 넘쳐나며, 이를 선별하는 데 수시간이 소요되어 보안 처리 작업의 부담을 더욱 증가시킨다고 특별히 언급했습니다.

Pump.fun은 GitHub 크리에이터 비용 공유 기능을 출시했다고 발표했습니다. 이제 사용자는 Pump.fun 모바일 애플리케이션을 통해 크리에이터 비용을 모든 GitHub 계정에 할당할 수 있습니다. 더 많은 소셜 기능이 곧 출시될 예정입니다.

ClawdBot（현재 이름이 Moltbot으로 변경됨）의 창립자 Peter Steinberger는 소셜 미디어에 게시하여 그의 GitHub 계정 탈취 문제는 해결되었으며, 이 문제는 개인 계정에만 영향을 미치고 조직 계정에는 영향을 미치지 않았다고 밝혔습니다. 그는 특히 사용자들에게 약 20개의 사칭 X 사기 계정에 주의할 것을 당부했습니다.

据澎湃新闻报道，近日有消息称，腾讯已正式向 GitHub（全球最大代码托管与协作平台）发出投诉函，要求下架一批 "允许用户导出或分析自己微信聊天记录" 的开源项目。其中，部分较受关注的项目负责人公开表示，在法律压力下，项目被迫停止维护。腾讯方面回应，部分读取微信聊天记录的开源项目，是通过对微信客户端进行逆向工程等手段，破解本地数据库的密钥，以绕过微信客户端的加密措施，威胁用户本人及第三方数据隐私及客户端安全，且极易被黑灰产利用。

Solana 공동 창립자 Anatoly Yakovenko는 Solana Breakpoint 대회에서 "제가 가장 좋아하는 점은: 탈중앙화가 리더가 없는 것이 아니라 리더의 풍부한 출현이라는 것입니다. 지난 5년 동안 너무 많은 사람들이 나섰습니다------재단, Labs의 사람들뿐만 아니라 이러한 초기 조직에 전혀 속하지 않는 커뮤니티 구성원, 애플리케이션 및 프로토콜의 구축자들------그들은 실제로 전체 네트워크의 리더 역할을 맡았습니다.현재에 이르러 저는 GitHub의 커밋 권한조차 없습니다. 제가 무대에 서서 이야기하는 데는 단 2분이 걸렸습니다. 제 목표는 관객석에 앉아 있는 것입니다------이것은 전체 네트워크가 진정으로 성숙하고 자신의 생명을 가지는 것을 보는 것을 의미한다고 생각합니다. 저는 이에 대해 매우 자랑스럽게 생각합니다."

ChainCatcher 메시지에 따르면, 0xkatz.era는 Gitcoin에서 가짜 피싱 공지가 발생했다고 전했습니다. 공격자는 GitHub의 원주 알림 시스템을 통해 많은 사용자에게 스팸 메시지를 전송했습니다.영향을 받은 사용자는 관련 조직 링크를 클릭할 때 페이지에 접근할 수 없음을 발견했습니다. 일부 사용자는 GitHub에 해당 계정 및 관련 문제를 신고했으며, 커뮤니티에 경각심을 높이고 피싱 위험을 방지할 것을 경고했습니다.

ChainCatcher 메시지에 따르면, 7월 2일 한 피해자가 전날 GitHub에 호스팅된 오픈 소스 프로젝트 ------ zldp2002/solana-pumpfun-bot을 사용한 후 암호 자산이 도난당했다고 주장했습니다. 느린 안개 분석에 따르면, 이번 공격 사건에서 공격자는 합법적인 오픈 소스 프로젝트(solana-pumpfun-bot)로 위장하여 사용자가 악성 코드를 다운로드하고 실행하도록 유도했습니다. 프로젝트의 인기를 높이는 것을 감추고, 사용자는 전혀 경계하지 않은 채 악성 의존성이 포함된 Node.js 프로젝트를 실행하여 지갑 개인 키가 유출되고 자산이 도난당했습니다. 전체 공격 체인은 여러 GitHub 계정이 협력하여 작동하며, 전파 범위를 확대하고 신뢰성을 높여 매우 기만적입니다. 동시에 이러한 공격은 사회 공학과 기술 수단을 결합하여 조직 내부에서도 완전히 방어하기 어렵습니다.느린 안개는 개발자와 사용자에게 출처가 불분명한 GitHub 프로젝트에 대해 높은 경계를 유지할 것을 권장하며, 특히 지갑이나 개인 키 작업과 관련된 경우 더욱 주의해야 한다고 강조합니다. 만약 디버깅을 실행해야 한다면, 독립적이고 민감한 데이터가 없는 머신 환경에서 실행하고 디버깅할 것을 권장합니다.

ChainCatcher 메시지에 따르면, OpenAI Developers에 의해 ChatGPT가 이제 GitHub 코드 저장소에 연결하여 심층 연구를 수행할 수 있도록 지원합니다. 사용자는 질문을 하고 AI가 소스 코드 및 PR 기록을 분석하여 인용이 포함된 상세 보고서를 생성합니다.이 기능은 "deep research → GitHub" 경로를 통해 시작되며, 개발자의 코드 이해 및 검토 효율성을 향상시키는 것을 목표로 합니다.

ChainCatcher 메시지에 따르면, 느린 안개余弦이 X 플랫폼에 글을 올리며 GitHub Actions CI/CD 메커니즘을 이용해 Coinbase에 공급망 공격을 시도했다고 전했습니다. 다행히도 계속해서 성공하지 못했으며, 그렇지 않았다면 다음에 폭로될 보안 사건은 Coinbase를 겨냥했을 것입니다. GitHub에서의 공급망 공격 경로: reviewdog/action-setup -> tj-actions/changed-files -> coinbase/agentkit -> GitHub 개인 접근 토큰(PAT), 클라우드 서비스 관련 키 등을 탈취.余弦은 기업이 reviewdog 또는 tj-actions를 사용할 경우 자체 점검을 해야 한다고 권장했습니다.

ChainCatcher 메시지에 따르면, Bitcoin.com의 보도에 의하면, 한 비밀스러운 악성 소프트웨어 활동이 Github의 가짜 오픈 소스 프로젝트에 악성 코드를 삽입하여 암호화 지갑을 탈취하고 개발자들이 숨겨진 페이로드를 실행하도록 유도하고 있습니다.Gitvenom이라는 이름의 사이버 공격 활동은 악성 코드를 합법적으로 보이는 오픈 소스 프로젝트에 삽입하여 Github 사용자를 공격하고 있습니다. 연구원 Georgy Kucherin과 Joao Godinho는 이 활동을 발견했으며, 사이버 범죄자들은 실제 소프트웨어 도구를 모방한 사기 저장소를 생성합니다. 가짜 프로젝트에서 사용되는 프로그래밍 언어에 따라 악성 코드의 삽입 방식도 다릅니다.