GitHub이 내부 저장소 무단 접근을 조사 중

 (twitter.com/github)
1P by GN⁺ 13시간전 | ★ favorite | 댓글 1개
  • GitHub이 내부 저장소에 대한 무단 접근을 조사 중이며, 현재 확인된 범위는 내부 저장소 접근임
  • 현재까지 GitHub 내부 저장소 밖에 저장된 고객 정보에 영향이 있었다는 증거는 없음
  • 고객의 enterprises, organizations, repositories에는 영향이 확인되지 않음
  • GitHub은 후속 활동을 확인하기 위해 인프라를 면밀히 모니터링하고 있음
  • 영향이 발견되면 기존 사고 대응 및 알림 채널을 통해 고객에게 통지할 예정임

함께 보면 좋은 글 β

GN⁺ 13시간전  [-]
Hacker News 의견들

  • GitHub가 “현재 평가는 GitHub 내부 저장소만 유출됐다는 것”이며, 공격자가 주장한 약 3,800개 저장소도 지금까지의 조사와 대체로 맞는다고 밝힘
    아찔함
    https://xcancel.com/github/status/2056949169701720157

  • 이런 보안 사고 공지를 Twitter/X로 하는 게 맞는지 모르겠음
    공식 블로그나 상태 페이지에는 아무것도 안 보임
    https://github.blog/
    https://www.githubstatus.com/

    • 확실히 적절한 플랫폼은 아님
      다른 곳에 공식 공지가 있었다면 그나마 이해하겠지만, 부끄러워서 가시성을 낮추고 기술적으로만 공지한 것처럼 보이기도 함
      GitHub는 이걸 X.com에만 올렸고, 사용량 기준으로 Pinterest보다 조금 나은 수준이며 Reddit, Snapchat, WeChat, Instagram보다 낮음
      게다가 프로필과 게시물을 보려면 계정이 필요하고, X가 극단적인 정치 성향 때문에 분열적인 플랫폼이라는 점은 별개임
      이 사안에 대해 BlueSky, Facebook, TikTok, YouTube, LinkedIn, Mastodon에도 올리지 않았고 이메일도 보내지 않았음
    • 기술 애호가에게는 매우 인기 있는 메시징 플랫폼이긴 함
    • 고객이 조치를 해야 하는 상황이면 대량 이메일 다음으로는 아마 제일 나은 선택일 수 있음
      상태 페이지는 최종 사용자에게 영향을 주는 신뢰성 문제용이고, 블로그는 심층 분석용에 가까움

  • GitHub는 “GitHub 내부 저장소에 대한 무단 접근을 조사 중”이며, 현재로서는 고객의 엔터프라이즈·조직·저장소처럼 내부 저장소 밖에 저장된 고객 정보에 영향이 있다는 증거는 없다고 밝힘
    후속 활동이 있는지 인프라를 면밀히 모니터링 중이라고 함

    • 닉슨의 유명한 “실수가 있었다”식 표현이 떠오름
      “해킹당했다”보다 “무단 접근을 조사 중”이 훨씬 듣기 좋게 들림

  • 보안 이슈와 별개로, 이런 공지를 X만 공식 출처로 밀어붙이는 회사가 늘어나는 흐름은 별로 마음에 들지 않음
    이유는 이해됨. 이건 가볍고 status.github.com이나 블로그에 올릴 성격은 아닌 것처럼 느껴짐
    어쩌면 상태 페이지와 트윗 사이 어딘가에, 자기 도메인 아래의 공식적인 일시적 공지 채널이 빠져 있는 것일 수도 있음

    • 사용자의 조치가 필요한 사안이면 고객에게 직접 커뮤니케이션을 보낼 거라고 이해하고 있음

  • 이건 심각함
    길고 자세한 설명 없이 먼저 이렇게 발표했다면, 아직 바닥이 안 보이는 구덩이를 보고 있고 뚜껑도 못 닫은 상태라는 뜻일 가능성이 큼
    Fortune 100 기업이 굳이 투자자를 겁먹게 하는 건 가장 피하고 싶은 방식임

    • 사람들에게 빨리 알리는 것도 옳은 일이고, 적어도 일부 고객 계약에서는 요구될 가능성이 큼
      특정 고객에게만 알릴 수도 없음. 어차피 새어나갈 테니까

  • GitHub Actions 보안을 잡으려면 정적 분석을 써서 문제를 찾아야 함: https://github.com/zizmorcore/zizmor
    로컬에서는 pnpm config set minimum-release-age 4320처럼 설정해 3일 지연을 둘 수 있음: https://pnpm.io/supply-chain-security
    다른 패키지 관리자는 여기 참고: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    CI에서 npm 패키지를 설치할 때는 Socket Free Firewall도 추가할 수 있음: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • GitHub Actions를 강화하는 유일한 방법은 GitHub Actions를 쓰지 않는 것임
    • vscode/cursor 확장의 자동 업데이트 비활성화도 말이 됨
    • GHA에서 PR 제목과 설명을 다룰 때도 조심해야 함
      거기에 text가 들어 있으면 실행될 수도 있음. GHA 구성에 따라 “반드시”가 아니라 “그럴 수 있음”에 가까움

  • GitHub의 엔지니어들과 모두에게 안타까운 일이고, 발견된 내용이 제한적이어도 공개적으로 알리는 태도는 좋음
    근본 원인을 찾아내고 결과를 공개해서 모두에게 배움이 되게 할 거라고 봄

  • Twitter가 아닌 링크: https://xcancel.com/github/status/2056884788179726685#m

    • 모든 X 링크는 이 방식이 사실상 기본이 되어야 함
      로그인하지 않은 사용자에게 X는 아무것도 볼 수 없을 정도로 적대적인 웹사이트임
      로그인한 사용자에게도 다른 방식으로 적대적이긴 함

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    모든 저장소가 복사되어 판매 중이라고 함
    공격자는 Shai-Hulud 악성코드를 만든 TeamPCP라고 함

    • 그게 사실이고 판매 후 자기 복사본을 파기할 생각이라면, GitHub가 대리인을 통해 직접 되사오지 못할 이유가 뭘까?
답변달기