GitHub 공개 저장소 생성
GitHub에 공개 코드 저장소가 생성되는 경우 탐지합니다.
쿼리
GitHub 감사 로그에서 실시간으로 공개 저장소 생성 로그를 추출합니다.
메시지
- GitHub 공개 저장소 생성: 생성자 $actor, 저장소 $repo
출력 필드 순서
- _log_time, src_ip, actor, action, repo, visibility, public_repo, actor_is_bot, user_agent, request_id, operation_type
위협 분석
- 공격자는 내부 환경에서 확보한 크리덴셜을 사용하여 GitHub 서비스에 외부에서 접근 가능한 공개 저장소를 생성할 수 있습니다.
- 조직의 GitHub 공개 저장소에 내부 자료를 유출하는 경우 기존의 정상적인 GitHub 통신 패턴과 구분할 수 없어 정보 유출 여부를 조기에 감지하기 어렵습니다.
- 2025년 11월 25일 Sha1-Hulud 웜이 감염된 NPM 패키지를 통해 설치된 후, 자동으로 GitHub 공개 저장소를 생성하고 개발자 단말에서 수집된 크리덴셜을 유출한 것이 대표적인 사례입니다.
오탐 유형
- 공개 저장소를 의도적으로 생성하는 경우에도 탐지됩니다. 공개 저장소 생성이 흔한 경우는 아니므로 확인 후 무시하거나, 특정한 이름 패턴을 예외로 처리할 수 있습니다.
대응 방안
- 저장소 비공개 전환
- 의도하지 않은 공개 저장소가 발견되는 즉시 비공개로 전환해야 합니다.
- API 토큰 파기 및 인증 무효화
- 영향 범위로 의심되는 모든 GitHub PAT (Personal Access Token)를 파기합니다.
- 생성자 계정 및 단말 조사
- 계정, 유저 에이전트, 접속 IP 주소를 통해 의도하지 않은 행위가 발생한 위치를 특정하고, 악성코드 감염 경로를 조사합니다.
- GitHub 영향 조사
- 사고 발생 시점 전후로 의도하지 않은 접근 권한 부여, 워크플로우 생성 등 이상 행위가 존재하는지 검토합니다.
- 복구 조치
- 단말에서 악성코드 감염 발견 시 제거하고 동일한 방식으로 감염 재발하지 않도록 조치합니다.
- 신규 API 토큰을 발급하여 파기된 토큰을 대체합니다.
MITRE ATT&CK
- 전술
- Exfiltration
- 기법
- 이름: Exfiltration Over Web Service: Exfiltration to Code Repository
- ID: T1567.001
- 참조 URL: https://attack.mitre.org/techniques/T1567/001/