깃허브 계정 노린 ‘클릭픽스’ 피싱 캠페인…1.2만 개 리포지토리 위협
깃허브 계정 노린 ‘클릭픽스’ 피싱 캠페인…1.2만 개 리포지토리 위협
새로운 피싱 캠페인에서 깃허브 개발자를 대상으로 한 가짜 ‘보안 경고’가 유포되고 있다. 이를 통해 사용자가 악성 오쓰(OAuth) 애플리케이션을 승인하도록 유도하는 방식이다.
www.itworld.co.kr
- 공격 개요
- 깃허브(GitHub) 개발자를 대상으로 한 피싱 캠페인 ‘클릭픽스’(Click-fix)가 확인됨
- 가짜 보안 경고를 통해 사용자에게 악성 OAuth 애플리케이션 gitsecurityapp 승인을 유도
- 승인 시 공격자가 깃허브 계정, 코드 리포지토리, 조직 정보에 대한 완전한 접근 권한 확보 가능
- 공격 방식 및 특징
- 가짜 경고 메시지에 “비정상적인 액세스 시도(Security Alert: Unusual Access Attempt)” 내용 포함
- 사용자의 불안 심리를 자극해 비밀번호 변경, 2단계 인증 활성화 등을 유도
- 모든 조치 버튼은 악성 OAuth 애플리케이션 승인 페이지로 연결
- 승인 요청 범위에는 공개 및 비공개 리포지토리 접근, 삭제, 조직 멤버 조회, 사용자 정보 수정 권한 포함
- 캠페인 현황 및 피해 범위
- 보안 연구자 Luc4m이 2025년 3월 17일 처음 보고
- 단 몇 분 만에 약 4,000회 시도, 현재까지 12,000개 이상 리포지토리가 대상이 된 것으로 파악
- 렌더(Render) 클라우드 플랫폼을 통해 배포, 피싱 URL:
https://github-com-auth-secure-access-token.onrender.com - 공격자는 아이슬란드(53.253.117.8)에서 발생한 것으로 위장
- 침해 지표(IoC): 깃허브 계정
hishamaboshami, 앱 IDOv23liQMsIZN6BD8RTZZ
- 공격 배후 및 정황
- 공격의 정교함, 사회공학 기법 사용, GitHub API 악용 등을 바탕으로 국가 배후 위협 가능성 제기
- Luc4m은 “DPRK(북한) 냄새가 난다”고 언급하며 과거 Contagious Interview 캠페인과 유사성 시사
- 보안 권고
- 깃허브에서 OAuth 애플리케이션 승인 시 권한 요청 범위 확인 필수
- 승인된 외부 애플리케이션 수시 검토 및 불필요한 권한 제거
- GitHub 계정에 대해 2단계 인증 활성화, 의심 세션 종료 조치 필요
- 보안 경고 수신 시 직접 깃허브 사이트에 로그인해 확인하는 습관 권장
- 조직 차원에서 GitHub OAuth 앱에 대한 관리자 승인제(Mandatory app approval) 도입 고려
- 결론
- 클릭픽스 캠페인은 깃허브 생태계를 위협하는 정교한 OAuth 피싱의 대표 사례
- SaaS 애플리케이션 보안의 취약 지점을 노린 공격이 증가하고 있으며, 개발자 대상 보안 교육과 예방 체계 필요
- 조직 차원에서 개발자 계정 보안을 SIEM, EDR, SSPM 등을 통해 모니터링하고 이상 행위 탐지 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| OT·ICS 소프트웨어 '엠버OT 3.2' 업데이트, 실시간 데이터 활용 기반 보안·운영 워크플로 강화 (0) | 2025.04.21 |
|---|---|
| 위믹스 해킹 사고 분석 및 보안 대응 정리 (1) | 2025.04.21 |
| 구직자 동의 없는 평판조회, 개인정보보호법 위반 및 형사처벌 대상 여부 (0) | 2025.04.21 |
| 경남경총 회원 개인정보 유출 사고와 은폐 의혹 (0) | 2025.04.21 |
| 인크루트 개인정보 유출 사고 분석 (0) | 2025.04.21 |