- 깃허브 액션스(GitHub Actions) CI/CD 공급망 활용해 공격
- 현재까지 성공한 사례는 없어, 관련 기업 자체 점검 필요성 강조
블록체인 보안업체 슬로우미스트(SlowMist)의 설립자 위시안(Yu Xian)이 깃허브(GitHub)의 공급망을 이용해 미국 최대 가상자산 거래소 코인베이스를 공격한 사례가 있었다고 밝혔다.
23일 위시안은 X 계정을 통해 “깃허브 액션스(GitHub Actions) CI/CD 공급망을 통해 코인베이스에 대한 공격을 시도했다”고 전했다. 다만 “다행히 공격은 지속적으로 성공하지 못했다”며 “만약 성공했다면 다음 보안 사고는 코인베이스가 되었을 것”이라고 설명했다.
위시안은 구체적인 공격 경로도 제시했다. 공격에 사용된 깃허브 공급망 경로는 ‘리뷰독(reviewdog/action-setup)’에서 ‘tj-actions/changed-files’로 이어졌고, 최종적으로 코인베이스의 ‘에이전트킷(coinbase/agentkit)’으로 연결됐다.
이를 통해 공격자는 깃허브 개인 액세스 토큰(PAT), 클라우드 서비스 관련 키 등 민감한 정보를 탈취할 수 있다는 것이 위시안의 설명이다.
그는 “기업이 리뷰독이나 tj-actions를 사용하고 있다면 자체적으로 관련 검사를 반드시 수행해야 한다”고 당부했다.
