대규모 사이버 공격 ’EmeraldWhale(에메랄드웨일)’이 노출된 Git 설정 파일을 스캔해 약 15,000개의 클라우드 계정 인증 정보를 탈취했다. 이 캠페인은 클라우드 보안 기업 시스디그(Sysdig)에 의해 밝혀졌으며, 공격자는 IP 범위를 자동화된 툴로 스캔해 .git/config나 .env 파일 등 민감한 정보를 포함할 가능성이 있는 설정 파일을 탐색했다고 전했다.

이번 공격은 깃허브(GitHub), 깃랩(GitLab), 비트버킷(BitBucket) 등 주요 코드 저장소를 타깃으로 삼아 해당 파일에서 API 키나 인증 토큰을 확보하고, 이를 통해 추가로 저장소에 접근해 클라우드 서비스 및 이메일 서비스 인증 정보를 더 많이 확보하는 방식으로 진행됐다. 탈취된 인증 정보는 아마존 S3 버킷에 보관한 후 피싱, 스팸 캠페인에 사용됐으며, 일부는 사이버 범죄자들에게 직접 판매됐다.

에메랄드웨일 공격자들은 httpx와 Masscan 같은 오픈소스 도구를 사용해 약 5억 개의 IP 주소를 스캔했으며, 이를 위해 전 세계의 IP 주소 리스트를 42억 개에 이르는 파일로 준비한 것으로 드러났다. 이 과정에서 유효한 토큰을 찾으면 curl 명령어를 사용해 클라우드 API에 검증한 후, 접근이 가능할 경우 해당 저장소를 다운로드해 클라우드 서비스와 이메일 플랫폼의 인증 정보를 추출했다. 이메일 서비스의 인증 정보는 대규모 스팸 및 피싱 공격에 활용됐다.

시스디그는 이 공격에 MZR V2(미자루 V2)와 세이조-v2라는 도구를 사용한 것으로 파악했으며, 일부 라라벨(Laravel) 애플리케이션에서 사용하는 .env 파일을 대상으로도 멀티그래버(Multigrabber v8.5)라는 툴을 이용해 민감 정보를 수집했다. 시스디그는 조사 중에 공격자들이 S3 버킷에 보관한 데이터 1테라바이트 규모의 인증 정보를 발견했으며, 전체적으로 6만 7천 개의 URL이 노출된 것으로 확인됐다.

이번 사건은 기존의 EleKtra-Leak(일렉트라-리크)와 유사한 방식으로 진행됐다. EleKtra-Leak는 팔로 알토 네트웍스(Palo Alto Networks)의 유닛42(Unit 42) 연구팀에 의해 보고된 바 있으며, 깃허브에 노출된 IAM(Identity and Access Management) 인증 정보를 몇 분 만에 탈취해 크립토재킹에 활용한 것으로 알려져 있다. 이번 사건과 같이 자동화된 도구로 노출된 인증 정보를 즉시 악용하는 공격 방식은 개발자들에게 비밀 관리 툴 사용의 필요성을 강조하고 있다.

전문가들은 민감 정보를 Git 설정 파일에 직접 저장하는 대신, 환경 변수나 비밀 관리 툴을 통해 별도로 관리함으로써 이러한 위험을 완화할 것을 권장했다.