Security

톱탈의 깃허브 계정 도난 당한 후 악성 패키지 퍼져

JustAnotherEditor

29 Jul 2025 — 5 min read

💡

Editor's Pick
- 톱탈이 봉한 깃허브 계정 도난 당해
- 공격자는 이 계정으로 악성 패키지 10개 퍼트려
- 비슷한 시기에 npm과 PyPI에서도 비슷한 공격 있어

기업과 인력을 연결시켜주는 플랫폼인 톱탈(Toptal)이 소유한 깃허브 계정이 침해됐다. 공격자들은 그 계정을 통해 악성 패키지 10개를 게시했다. 보안 업체 소켓(Socket)이 보고서를 통해 발표한 바에 따르면 악성 패키지 안에는 인증 토큰 탈취 및 피해자 시스템 파괴를 위한 악성 코드가 포함돼 있었다고 한다.

문제의 패키지들은 다음과 같다.

* @toptal/picasso-tailwind

* @toptal/picasso-charts

* @toptal/picasso-shared

* @toptal/picasso-provider

* @toptal/picasso-select

* @toptal/picasso-quote

* @toptal/picasso-forms

* @xene/core

* @toptal/picasso-utils

* @toptal/picasso-typograph

“모든 라이브러리 내 package.jason 파일에 동일한 페이로드가 삽입되어 있었습니다. 지금은 제거가 됐지만, 그 전까지 이미 5천 회 이상 다운로드 됐습니다. 퍼져가면서 파장이 커질 수도 있습니다.” 소켓의 설명이다.

악성코드는 다음과 같은 행위를 하는 것으로 분석됐다.

1) preinstall 및 postinstall 스크립트를 악용해 깃허브 인증 토큰을 webhook.site로 빼돌린다.

2) 윈도와 리눅스 시스템 양쪽에서 모든 디렉토리 및 파일을 조용히 삭제한다.

3) 이 때 피해자의 상호작용은 전혀 필요하지 않는다.

톱탈 측은 어쩌다가 공격자에게 계정을 빼앗기게 됐을까? 이것에 대한 답은 아직 나오지 않았다. “임직원 중 한 명이 계정이나 로그인 정보를 도난 당했을 수도 있습니다. 혹은 악성 내부자가 있었을 수도 있었겠죠. 이것은 톱탈 측에서 조사를 통해 밝혀낼 과제입니다.” 현재 위 패키지들은 전부 정상 상태로 복원됐다.

이러한 공격이 이뤄졌을 때 npm 패키지 저장소와 PyPI라는 파이선 패키지 저장소 역시 공급망 공격에 당했었다. 피해자 장비를 감염시켜 키로깅을 하고, 화면을 캡쳐하며, 시스템 정보를 수집하는 악성코드들이 확산된 것이다. 이 역시 소켓이 발견했다. 현재까지 식별된 패키지와 다운로드 횟수는 다음과 같다.

1) dpsdatahub (npm) – 5869회

2) nodejs-backpack (npm) – 830회

3) m0m0x01d (npm) – 37847회

4) vfunctions (PyPI) – 12033회

현재는 전부 차단된 상태다.

현재 사이버 공격자들의 가장 큰 관심사 중 하나는 ‘개발자’이다. 소프트웨어 개발 방법이 현대에 와서 급격히 달라졌는데, 그 중심에 오픈소스가 있기 때문이다. 무료로 제공되는 이 오픈소스를 조각조각 떼어다가 이어 붙여 소프트웨어를 완성시키는 게 요즘의 개발 행위다. 오픈소스는 태생적 특성상 누구나 쉽게 찾고 다운로드 받을 수 있는데, 그렇기 때문에 공격자가 여러 가지 방법으로 조작하거나 감염시킬 수도 있다.

또한 한 번 감염시킨 오픈소스 패키지가 들키지 않고 여러 개발자의 손에 들어가 다양한 개발 프로젝트에 삽입된다면, 공격자로서는 수많은 멀웨어를 한꺼번에 얻는 것과 같은 효과를 누리게 된다. 공격 효율성이 매우 높다는 의미다. 현재로서는 유명 패키지를 흉내 낸 악성 패키지를 저장소에 업로드시켜 개발자들을 헷갈리게 하는 방식이 가장 널리 사용된다. 혹은 이번 공격처럼 신뢰받는 계정을 침해하여 해당 계정과 연계된 패키지들을 오염시키기도 한다.

이 때문에 개발자들을 대상으로한 보안 교육이 필수라는 소리들이 나오고 있다. 또한 소프트웨어 개발의 모든 과정에 보안 담당자와 개발자의 협업이 이뤄져야 한다는 방법론도 오래 전부터 주장되어 왔다.