해커들이 GitHub를 이용하여 암호화폐를 탈취 중—오픈 소스에 숨겨진 멀웨어

Github의 잠입성 맬웨어가 암호화폐 지갑을 탈취하고 있습니다

최근에 밝혀진 Gitvenom이라는 사이버 캠페인은 Github 사용자를 대상으로 하여 겉보기에는 합법적인 오픈 소스 프로젝트에 악성 코드를 삽입하고 있습니다. Kaspersky 연구원인 Georgy Kucherin과 Joao Godinho는 사이버 범죄자들이 실제 소프트웨어 도구를 모방하여 사기성 저장소를 만드는 작업을 밝혀냈습니다.

연구원들은 설명했습니다:

Gitvenom 캠페인 동안, 이에 연루된 위협 행위자들은 Github에 수백 개의 저장소를 만들어 악성 코드가 있는 가짜 프로젝트를 담고 있습니다. 예를 들어, Instagram 계정과 상호작용하는 자동화 도구, 비트코인 지갑을 관리할 수 있는 Telegram 봇, 비디오 게임 Valorant의 해킹 도구 등이 포함됩니다.

공격자들은 AI 생성 README.md 파일을 사용하고, 여러 태그를 추가하며, 커밋 이력을 인위적으로 부풀려 이러한 저장소를 신뢰할 수 있게 보이게 하기 위해 많은 노력을 기울였습니다.

악성 코드는 사용된 프로그래밍 언어에 따라 다르게 삽입됩니다. Python 저장소에서는 공격자들이 긴 공백 뒤에 스크립트 복호화 명령어를 사용하여 페이로드를 숨깁니다. Javascript 기반 프로젝트에서는 Base64로 인코딩된 스크립트를 디코드하고 실행하는 함수 내에 맬웨어를 숨깁니다. C, C++, 그리고 C# 프로젝트에서는 Visual Studio 프로젝트 파일에 숨겨진 배치 스크립트를 배치하여 프로젝트가 빌드될 때 맬웨어가 실행되도록 합니다.

이 스크립트가 실행되면, 공격자가 제어하는 Github 저장소에서 추가적인 악성 구성요소를 다운로드합니다. 여기에는 Node.js 기반의 스틸러가 포함되어 있어, 자격 증명, 암호화폐 지갑 데이터, 브라우징 기록을 추출한 후 Telegram을 통해 공격자에게 전송합니다. 또한, AsyncRAT 및 Quasar 백도어 같은 오픈 소스 원격 접근 도구도 포함됩니다. 클립보드 하이재커도 배포되어, 복사된 암호화폐 지갑 주소를 공격자 제어의 주소로 교체합니다.

Gitvenom 캠페인은 최소 2년간 활동해 왔으며, 러시아, 브라질, 터키에서 주로 감염 시도가 감지되었습니다. Kaspersky 연구원들은 악성 저장소의 증가하는 위험성을 강조하며 경고했습니다:

전 세계 수백만 명의 개발자들이 사용하는 Github 같은 코드 공유 플랫폼은 위협 행위자들이 감염 미끼로 사용할 가짜 소프트웨어를 지속적으로 사용할 것입니다.

“그래서 타사 코드의 처리를 매우 주의 깊게 다루는 것이 중요합니다. 그러한 코드를 실행하거나 기존 프로젝트에 통합하기 전에, 그것이 수행하는 작업을 철저히 확인하는 것이 필수적입니다,”라고 그들은 경고했습니다. 오픈 소스 플랫폼이 계속해서 사이버 범죄자들에게 악용됨에 따라, 개발자들은 환경이 손상되지 않도록 주의해야 합니다.