악성 NuGet 패키지, ASP.NET 개발자를 겨냥한 데이터 유출 공격
Socket 연구진이 발견한 악성 NuGet 패키지 4종이 ASP.NET Identity 데이터를 탈취하고 백도어를 설치하는 공격 캠페인을 진행 중입니다. 의존성 검토 및 보안 조치가 필요합니다.
악성 NuGet 패키지, ASP.NET Identity 데이터 유출 시도
Socket의 사이버 보안 연구진이 ASP.NET 웹 애플리케이션 개발자를 대상으로 한 4종의 악성 NuGet 패키지를 발견했습니다. 이 패키지는 사용자 계정, 역할 할당, 권한 매핑 등 민감한 ASP.NET Identity 데이터를 탈취하는 동시에, 인가 규칙을 조작해 침해된 애플리케이션에 지속적인 백도어를 설치합니다.
공격의 기술적 세부 사항
이 악성 패키지는 .NET 개발을 위한 인기 패키지 관리자인 NuGet을 악용한 조직적인 공격 캠페인의 일환으로 발견되었습니다. 공격자는 겉보기에는 합법적인 패키지에 악성 코드를 삽입해 다음과 같은 행위를 수행했습니다:
- ASP.NET Identity 데이터 유출 (사용자 자격 증명, 역할, 권한)
- 인가 규칙 수정을 통한 숨겨진 관리자 계정 생성
- 백도어 삽입으로 피해 애플리케이션에 지속성 확보
현재 구체적인 CVE ID나 패키지 이름은 공개되지 않았지만, 이 공격 방식은 오픈소스 생태계를 대상으로 한 최근 공급망 공격(supply chain attacks) 트렌드와 일치합니다.
개발자와 조직에 미치는 영향
ASP.NET Identity 데이터 유출은 다음과 같은 심각한 위험을 초래합니다:
- 민감한 사용자 데이터에 대한 불법 접근
- 조작된 역할 할당을 통한 권한 상승(privilege escalation)
- 백도어화된 애플리케이션을 통한 장기적 지속성 유지
- GDPR, CCPA 등 데이터 보호 규정에 따른 법적 준수 위반 가능성
NuGet을 사용하는 ASP.NET 프로젝트 개발자는 의존성 패키지를 감사하고 비정상적인 인가 변경 사항을 모니터링해야 합니다.
대응 및 후속 조치
보안 팀과 개발자는 다음 조치를 취하는 것이 권장됩니다:
- Socket, OWASP Dependency-Check, NuGet Package Explorer 등 도구를 활용해 NuGet 의존성 스캔
- ASP.NET Identity 구성에서 비인가 수정 사항 검토
- 영향을 받은 모든 사용자 계정 및 역할의 자격 증명 교체
- 애플리케이션 로그에서 비정상적인 인증 시도 모니터링
- 패키지 서명 및 출처 검증 등 공급망 보안 조치 구현
Socket은 해당 악성 패키지를 NuGet에 보고했으며, NuGet 측에서 저장소에서 제거 조치를 취한 것으로 보입니다. 다만 개발자는 npm, PyPI, RubyGems 등 다른 패키지 생태계에서도 유사한 위협에 대비해야 합니다.
자세한 내용은 The Hacker News의 원문 보고서를 참고하시기 바랍니다.