리포지터리 접근해 데이터 빼돌린 후 협박 편지만 남겨...0.1 비트코인 요구
증거 전송할 의향 있음도 밝힌 범인들...하지만 아직까지 아무도 돈 입금 안 해
[보안뉴스 문가용 기자] 사이버 범죄자들이 깃허브(GitHub), 깃랩(GitLab), 비트버킷(Bitbucket) 등의 코드 리포지터리 서비스에서 데이터를 삭제하는 짓을 저지르고 있다. 계정 혹은 리포지터리 주인들을 협박하고 돈을 받아내기 위함이다. 서비스 제공자들은 범인들이 훔친 크리덴셜을 사용하고 있는 것으로 보고 있다.
개발자들은 며칠 전부터 “깃 리포지터리들에 저장된 데이터가 삭제되고, 협박 편지만 남아있었다”고 업체에 불만을 제기하기 시작했다. 협박 편지 내용은 랜섬웨어의 그것과 다르지 않았다. “데이터를 돌려받고 싶다면 0.1 비트코인을 내라”는 것이다.
“사라진 코드를 복구하고, 코드가 추가로 유출되는 것을 막고 싶다면 0.1 비트코인을 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA로 전송하고 admin@gitsbackup.com으로 연락하시기 바랍니다. 깃 로그인과 지불 증명서를 반드시 첨부하십시오. 만약 우리가 데이터도 없이 협박을 하는 거라고 생각한다면, 솔직하게 연락하십시오. 그러면 증거를 받을 수 있을 것입니다. 당신의 데이터는 현재 우리 서버에 저장되어 있고, 앞으로 10일 안에 돈이 지급되지 않으면 코드를 세상에 공개할 것입니다.”
이 공격자 혹은 공격 단체는 깃허브, 깃랩, 비트버킷의 사용자들을 겨냥해 이 같은 범행을 저지르고 있다. 이미 수백 명의 사용자들이 피해를 입은 것으로 보인다. 그러나 위에 공개된 비트코인 지갑을 보면, 아직 단 한 명도 범인들이 요구하는 돈을 지급하지 않은 것으로 나타났다.
깃랩과 깃허브, 비트버킷은 전부 이 문제를 접수하고 조사를 시작했다. 세 업체 모두 “공격자들이 어디선가 침해된 크리덴셜을 구했거나 직접 훔쳐서 공격을 실시했다”는 결론을 현재까지는 내리고 있다. 또한 전부 다 이번 사건에 영향을 받은 고객들과 함께 리포지터리 복원에 힘을 쓰고 있다고 발표했다.
“전부 다 그런 것인지는 잘 모르겠지만, 일부 사건의 경우 공격자가 .git/config 파일들에서부터 크리덴셜을 취득함으로써 계정을 침해한 것으로 보입니다.” 보안 업체 배드 패키츠(Badk Packets)는 “공격자들이 웹을 스캔해 인터넷에 노출돼 있는 깃 크리덴셜들을 취득했다”고 발표하기도 했다.
깃랩의 보안 책임자인 케이시 왕(Kathy Wang)은 “이 사건의 영향을 받은 고객들을 전부 파악하고 있으며, 전부에게 연락을 취해 해상 사실을 알렸다”며 “이 계정 주인들이 침해된 리포지터리를 구축할 때 비밀번호를 평문으로 저장하고 있었다는 강력한 증거를 확보했다”고 밝혔다.
그러면서 “비밀번호를 저장할 때는 비밀번호 관리 툴을 사용하거나, 그에 준하는 강력한 방법을 통해 비밀번호를 관리하는 습관을 들이는 것이 좋다”고 권고했다. “가능하다면 되도록 다중 인증 기법을 적용해 인증 과정을 통과하는 것 역시 현 시대에서는 꽤나 안전한 생활 습관입니다.”
3줄 요약
1. 깃허브 등 유명 리포지터리에 침해한 공격자들, 데이터 볼모 잡고 협박 시작.
2. 비트코인 지갑 주소 주며 0.1 BTC 보내라는 협박 편지 전달됐으나, 아무도 입금 안 함.
3. 비밀번호 탈취하거나 도난당한 비밀번호 구해 계정에 침해한 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
증거 전송할 의향 있음도 밝힌 범인들...하지만 아직까지 아무도 돈 입금 안 해
[보안뉴스 문가용 기자] 사이버 범죄자들이 깃허브(GitHub), 깃랩(GitLab), 비트버킷(Bitbucket) 등의 코드 리포지터리 서비스에서 데이터를 삭제하는 짓을 저지르고 있다. 계정 혹은 리포지터리 주인들을 협박하고 돈을 받아내기 위함이다. 서비스 제공자들은 범인들이 훔친 크리덴셜을 사용하고 있는 것으로 보고 있다.
[이미지 = iclickart]
개발자들은 며칠 전부터 “깃 리포지터리들에 저장된 데이터가 삭제되고, 협박 편지만 남아있었다”고 업체에 불만을 제기하기 시작했다. 협박 편지 내용은 랜섬웨어의 그것과 다르지 않았다. “데이터를 돌려받고 싶다면 0.1 비트코인을 내라”는 것이다.
“사라진 코드를 복구하고, 코드가 추가로 유출되는 것을 막고 싶다면 0.1 비트코인을 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA로 전송하고 admin@gitsbackup.com으로 연락하시기 바랍니다. 깃 로그인과 지불 증명서를 반드시 첨부하십시오. 만약 우리가 데이터도 없이 협박을 하는 거라고 생각한다면, 솔직하게 연락하십시오. 그러면 증거를 받을 수 있을 것입니다. 당신의 데이터는 현재 우리 서버에 저장되어 있고, 앞으로 10일 안에 돈이 지급되지 않으면 코드를 세상에 공개할 것입니다.”
이 공격자 혹은 공격 단체는 깃허브, 깃랩, 비트버킷의 사용자들을 겨냥해 이 같은 범행을 저지르고 있다. 이미 수백 명의 사용자들이 피해를 입은 것으로 보인다. 그러나 위에 공개된 비트코인 지갑을 보면, 아직 단 한 명도 범인들이 요구하는 돈을 지급하지 않은 것으로 나타났다.
깃랩과 깃허브, 비트버킷은 전부 이 문제를 접수하고 조사를 시작했다. 세 업체 모두 “공격자들이 어디선가 침해된 크리덴셜을 구했거나 직접 훔쳐서 공격을 실시했다”는 결론을 현재까지는 내리고 있다. 또한 전부 다 이번 사건에 영향을 받은 고객들과 함께 리포지터리 복원에 힘을 쓰고 있다고 발표했다.
“전부 다 그런 것인지는 잘 모르겠지만, 일부 사건의 경우 공격자가 .git/config 파일들에서부터 크리덴셜을 취득함으로써 계정을 침해한 것으로 보입니다.” 보안 업체 배드 패키츠(Badk Packets)는 “공격자들이 웹을 스캔해 인터넷에 노출돼 있는 깃 크리덴셜들을 취득했다”고 발표하기도 했다.
깃랩의 보안 책임자인 케이시 왕(Kathy Wang)은 “이 사건의 영향을 받은 고객들을 전부 파악하고 있으며, 전부에게 연락을 취해 해상 사실을 알렸다”며 “이 계정 주인들이 침해된 리포지터리를 구축할 때 비밀번호를 평문으로 저장하고 있었다는 강력한 증거를 확보했다”고 밝혔다.
그러면서 “비밀번호를 저장할 때는 비밀번호 관리 툴을 사용하거나, 그에 준하는 강력한 방법을 통해 비밀번호를 관리하는 습관을 들이는 것이 좋다”고 권고했다. “가능하다면 되도록 다중 인증 기법을 적용해 인증 과정을 통과하는 것 역시 현 시대에서는 꽤나 안전한 생활 습관입니다.”
3줄 요약
1. 깃허브 등 유명 리포지터리에 침해한 공격자들, 데이터 볼모 잡고 협박 시작.
2. 비트코인 지갑 주소 주며 0.1 BTC 보내라는 협박 편지 전달됐으나, 아무도 입금 안 함.
3. 비밀번호 탈취하거나 도난당한 비밀번호 구해 계정에 침해한 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
