GitHub Copilot 악용을 통한 저장소 탈취, 악의적 이슈로 가능해져

GitHub Copilot 취약점으로 인한 악의적 이슈를 통한 저장소 탈취 가능성

보안 연구원들은 GitHub Copilot에서 새로운 공격 벡터를 발견했습니다. 이 벡터를 통해 위협 행위자들은 GitHub 이슈에 악의적인 명령을 삽입하여 저장소를 탈취할 수 있습니다. 영향을 받는 이슈에서 Codespace를 실행하면 해당 명령이 자동으로 처리되어 저장소 탈취로 이어질 수 있습니다.

기술적 세부 사항

이 공격은 GitHub 이슈와 GitHub Copilot 간의 통합, 특히 Codespaces 환경에서 발생합니다. 위협 행위자들은 이슈에 숨겨진 악의적인 명령을 작성하며, Copilot이 Codespace 초기화 중에 이 명령을 실행합니다. 이로 인해 비인가 접근, 코드 인젝션, 또는 전체 저장소 탈취가 가능해질 수 있습니다.

주요 기술적 측면은 다음과 같습니다:

• 자동 처리: Copilot은 Codespace 생성 시 이슈 내용을 파싱하여 내장된 명령을 사용자 승인 없이 실행합니다.
• CVE 미할당: 현재까지 이 취약점에 대한 CVE ID는 할당되지 않았습니다.
• 공격 표면: 주로 Copilot이 활성화된 Codespaces를 사용하여 이슈를 처리하는 유지 관리자나 기여자가 영향을 받습니다.

영향 분석

이 취약점은 개발팀에 다음과 같은 중대한 위험을 초래합니다:

• 저장소 탈취: 공격자는 소스 코드, 비밀 키, 또는 CI/CD 파이프라인을 장악할 수 있습니다.
• 공급망 공격: 저장소에 주입된 악의적 코드가 하위 종속성에 전파될 수 있습니다.
• 권한 상승: 다른 취약점과 결합될 경우, 공격자는 조직 자원에 대한 접근 권한을 상승시킬 수 있습니다.

권장 사항

GitHub에서 아직 공식 패치를 발표하지 않았지만, 보안 전문가들은 다음과 같은 조치를 취해야 합니다:

1. GitHub 이슈 감사: 최근 이슈를 검토하여 의심스럽거나 난독화된 명령어를 확인합니다.
2. Codespaces에서 Copilot 비활성화: 패치가 배포될 때까지 일시적으로 Codespaces에서 Copilot 통합을 비활성화합니다.
3. 저장소 활동 모니터링: GitHub의 감사 로그를 사용하여 비인가 변경 사항이나 접근을 탐지합니다.
4. 개발자 교육: 팀에 Codespaces에서 신뢰할 수 없는 이슈 내용을 실행할 때의 위험에 대해 경고합니다.

SecurityWeek는 이 취약점을 처음 보도하며, 안전한 워크플로우에서 AI 지원 개발 도구에 대한 철저한 검토의 필요성을 강조했습니다.