PHP PEAR 사이트 해킹으로 공급망 공격

웹 사이트 개발에 많이 쓰이는 프로그래밍 언어 PHP용 라이브러리에 장기간의 공급망 공격(supply chain attack)이 있었다. PEAR(PHP Extension and Application Repository)는 PHP용 확장 기능과 응용 프로그램 저장소로, 커뮤니티에 의해 오픈소스로 운영된다. 이를 이용해 개발자는 자신의 프로젝트에 쉽게 기능을 추가할 수 있다.

1.19일 PEAR 관리자는 공식 사이트에 있는 PEAR package manager(go-pear.phar)가 악성코드에 감염된 것을 발견하고, 사이트를 임시로 폐쇄했다. PEAR package manager는 공식 사이트(pear-php.net)와 GitHub를 통해 배포되는데, 공식 사이트의 것만 악성코드에 감염됐다.

조사가 아직 진행 중이므로 상세한 내용은 알려지지 않았지만, 악성코드 감염은 최소 6개월 전에 이루어진 것으로 추정됐다. 따라서 이 기간 공식 사이트에서 package manager를 다운로드한 사람은 악성 버전을 받았을 가능성이 크다. 현재 정상 버전이 깃허브에 pearweb_phars 1.10.10로 올라와 있으므로, 이것과 파일 해시 값이 다르다면 악성 버전이다.

파장은 상당히 클 전망이다. PHP는 웹 사이트에서 캐싱, 인증, 암호화 등 중요한 서비스에 많이 이용되고, 감염된 라이브러리를 사용한 웹 사이트와 그 방문자들까지 위험에 노출돼 있기 때문이다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다