연결 가능 링크

보안업체 “북한 연계 추정 해커, ‘유명 개발도구 위장’ 악성코드 배포”

멀웨어 일러스트 (화면 출처: Adobe Stock)
멀웨어 일러스트 (화면 출처: Adobe Stock)

북한 연계 해커 조직 '라자루스(Lazarus)'와 유사한 수법을 사용하는 공격자들이 전 세계 소프트웨어 개발자들이 자주 사용하는 유명 코드 뭉치를 모방해 악성 코드를 배포한 것으로 드러났습니다.

미국의 소프트웨어 공급망 보안업체 제이프로그 보안연구소는 최근 공개한 보고서에서 자바스크립트 개발 생태계에서 널리 쓰이는 npm 저장소에 악성 패키지 6종을 포착했다고 밝혔습니다.

개발자들은 프로그램을 만들 때 필요한 기능을 모두 직접 만들기보다, 보편적인 기능들은 공용 저장소에 등록된 오픈소스 패키지를 내려받아 개발에 활용하는 것이 일반적입니다.

제이프로그 보고서는 이들 공격자들이 오픈소스 패키지에 정상 프로그램과 이름, 설명, 저장소 정보까지 거의 동일하게 꾸며, 개발자들이 정상 프로그램으로 오인하도록 만들었다고 설명했습니다.

특히 프로그램 안에 포함된 설명서와 홈페이지 주소 등도 원본과 같이 만들어 구분이 어렵게 했다고 밝혔습니다.

보고서는 또, 감염 과정도 여러 단계로 설계됐다고 설명했습니다. 개발자가 악성 패키지를 프로젝트에 포함하면 추가 악성 패키지가 자동으로 설치되고, 외부 서버에서 암호화된 악성 코드를 내려받아 실행하도록 했다는 것입니다.

아울러 악성코드 탐지에 걸리지 않도록, 보안 위협 여부를 탐지하는 환경에서는 악성코드가 동작하지 않도록 했습니다.

보고서에 따르면, 이번 공격은 일반 인터넷 사용자가 아니라, 기업 시스템을 만드는 개발자 컴퓨터를 통해 기업 전체를 해킹하려는 ‘소프트웨어 공급망 공격’입니다.

해커들은 이를 통해 컴퓨터 환경을 감시하거나 컴퓨터 통제권을 탈취하고, 가상화폐 지갑과 로그인 정보 등을 탈취하려 한 것으로 추정됩니다.

제이프로그는 이번 공격의 구조와 위장 수법, 정보 탈취, 원격 제어 방식 등이 라자루스의 공격과 유사하다고 밝혔습니다.

라자루스는 김수키, 안다리엘과 더불어 북한 정찰총국 소속으로 알려진 해킹 조직입니다.

연구소는 개발자와 기업이 피해 여부를 즉시 점검할 것을 당부했습니다.

VOA 뉴스

Forum

XS
SM
MD
LG