개발자 계정 털어 오픈소스 패키지까지 감염시키는 리눅스 RAT 등장

• 리눅스 개발자 환경을 노리는 새 공급망 공격이 발견됨

  • 트렌드마이크로는 기존에 공개되지 않았던 리눅스 원격 접속 트로이목마(RAT) ‘QLNX’를 지목함
  • 공격 대상은 개발자, 데브옵스(DevOps) 운영자, 패키지 관리자 계정임

• 이 공격의 무서운 점은 “개발자 한 명 털림”으로 끝나지 않는다는 것임

  • 패키지 관리자 시스템에 QLNX가 설치되면 공격자는 배포 파이프라인에 접근할 수 있음
  • 이후 정상 패키지에 트로이목마를 넣거나 빌드 결과물에 백도어를 심을 수 있음
  • npm, PyPI, 컨테이너 이미지 같은 경로가 한 번에 오염될 수 있다는 얘기임

• 공격자는 오픈소스 생태계의 ‘신뢰 습관’을 정확히 찌름

  • 개발자는 커뮤니티에서 널리 쓰이는 패키지를 별 의심 없이 설치하는 경우가 많음
  • 개인 개발자 환경에는 기업 수준의 보안 솔루션이 없는 경우도 흔함
  • 그래서 잘 알려지지 않은 리눅스 악성코드가 조용히 들어와도 탐지가 늦어질 수 있음

• 올해 3월 발생한 라이트LLM(LiteLLM) 공급망 침해가 비슷한 패턴으로 언급됨

  • 당시 공격자는 특정 도구에서 훔친 자격증명을 이용한 것으로 알려짐
  • 일일 다운로드 수가 340만 건에 달하는 파이썬 패키지가 트로이목마화됐다는 설명임
  • 패키지 하나가 털리면 “사용자 몇 명”이 아니라 생태계 단위 문제가 됨

• QLNX는 단순히 한 번 실행되고 끝나는 악성코드가 아님

  • 장기간 숨어 있으면서 자격증명을 계속 빼내도록 설계됨
  • 감염된 시스템끼리 명령을 주고받는 P2P 기능도 포함됨
  • 중앙 서버 하나를 차단한다고 끝나지 않을 수 있어 추적과 제거가 더 어려워짐

sequenceDiagram
    participant 공격자
    participant 개발자환경
    participant 배포파이프라인
    participant 패키지저장소
    participant 사용자
    공격자->>개발자환경: QLNX 감염 및 자격증명 탈취
    개발자환경->>배포파이프라인: 탈취 계정으로 접근
    배포파이프라인->>패키지저장소: 악성 코드가 포함된 패키지 게시
    사용자->>패키지저장소: 정상 패키지로 믿고 설치
    패키지저장소->>사용자: 악성코드 전파

• 당장 체크할 만한 지점은 꽤 현실적임
  • 패키지 배포 계정에 다중 인증을 강제하고, 토큰 권한과 만료 기간을 줄여야 함
  • CI/CD 비밀값이 로컬 개발 환경에 과하게 노출돼 있지 않은지 봐야 함
  • 개발자 노트북도 “개인 장비”가 아니라 배포 인프라의 일부로 취급해야 함

기술 맥락

• 이 공격에서 핵심 선택지는 서버 침투가 아니라 개발자 환경 침투예요. 왜냐면 오픈소스 패키지는 관리자 계정과 배포 토큰을 신뢰의 출발점으로 삼거든요. 그 지점이 털리면 이후 단계는 정상 배포처럼 보일 수 있어요.

• QLNX가 리눅스 RAT라는 점도 중요해요. 개발자와 데브옵스 운영자는 리눅스 워크스테이션, 컨테이너, 원격 서버를 자주 쓰기 때문에 공격자가 훔칠 수 있는 SSH 키, 패키지 토큰, 클라우드 자격증명이 많거든요.

• P2P 기능은 대응을 더 어렵게 만들어요. 감염 기기가 서로 명령을 주고받을 수 있으면 중앙 명령 서버 하나를 막는 방식만으로는 정리가 안 될 수 있어요. 그래서 탐지와 제거가 엔드포인트 단위로 촘촘해야 해요.

• LiteLLM 사례처럼 다운로드 수가 큰 패키지가 오염되면 피해는 개발팀 밖으로 바로 번져요. 일일 340만 건 규모 패키지라면 몇 시간만 노출돼도 수많은 CI 서버와 개발 환경에 악성 코드가 들어갈 수 있거든요.