북한 해커, 깃허브 프로젝트에 악성코드 숨겨 개발자 노린다?
최근 북한 해커들이 프리랜서 소프트웨어 개발자들을 노려 정보 탈취를 시도하고 있다는 경고가 나왔어요. 특히 암호화폐 프로젝트에 참여하는 개발자들이 주요 타겟이라고 합니다.
공격 방식
이번 공격은 이셋(ESET)에 의해 확인되었는데요, 해커들은 소셜 미디어에서 채용 담당자로 위장해 개발자들에게 접근합니다. 링크드인(LinkedIn), 업워크(Upwork), 프리랜서닷컴(Freelancer.com) 같은 구인 플랫폼을 통해 채용 제안을 하고, 코딩 테스트를 완료하면 채용 기회를 제공하는 방식으로 유인한다고 해요.
코딩 테스트 프로젝트는 주로 다음과 같은 형태를 띕니다.
- 채용 과제
- 암호화폐 프로젝트
- 블록체인 기능이 포함된 게임
- 암호화폐 또는 블록체인 관련 도박 프로젝트
테스트 파일은 깃허브(GitHub)와 유사한 플랫폼의 비공개 저장소에 호스팅됩니다. 개발자가 파일을 다운로드하여 프로젝트를 실행하면, 비버테일(BeaverTail) 악성코드가 배포되는 것이죠.
해커들은 종종 전체 프로젝트를 복사하고, 악성코드를 추가하고 README 파일을 다시 작성하는 것 외에는 변경하지 않아요. 악성 코드는 의심을 사지 않거나 쉽게 발견되지 않도록 백엔드 코드 내의 주석 뒤에 숨겨 화면 밖으로 밀어내는 방식으로 은폐됩니다.
악성코드의 작동 방식
비버테일 악성코드는 브라우저 데이터베이스를 공격하여 자격 증명을 훔치고, 캠페인의 두 번째 단계인 인비저블페럿(InvisibleFerret)을 다운로드합니다. 인비저블페럿은 백도어 역할을 하여 공격자가 AnyDesk 원격 관리 소프트웨어를 설치하고 추가적인 침해 활동을 수행할 수 있도록 합니다.
윈도우(Windows), 맥(Mac), 리눅스(Linux) 사용자 모두 공격에 취약하며, 전 세계적으로 피해 사례가 관찰되고 있습니다. 공격자들은 주니어 개발자부터 숙련된 전문가까지 가리지 않고 공격 대상을 삼았다고 하네요. 이번 캠페인은 과거 기밀 정보를 훔치기 위해 항공우주 및 방위 산업 종사자들을 표적으로 삼았던 오퍼레이션 드림잡(Operation DreamJob)과 유사한 점이 많다고 합니다.
주의해야 할 점
- 출처가 불분명한 링크나 파일은 함부로 클릭하거나 다운로드하지 않도록 주의해야 합니다.
- 특히 암호화폐 관련 프로젝트에 참여하는 프리랜서 개발자들은 보안에 더욱 신경 써야 합니다.
- 수상한 채용 제안을 받았다면, 해당 기업의 정보를 꼼꼼히 확인하고 신중하게 대처해야 합니다.