북한의 APT 공격자들이 깃허브라는 코드 리포지터리에서 자신들만의 계정을 만들어 활동하고 있다. 개발자들을 공략해 그들의 컴퓨터를 감염시키기 위해서다. 이미 피해자들이 꽤나 있는 것으로 보이지만 아직 늦지 않았다고 한다.
[보안뉴스 문정후 기자] 북한 정권의 지원을 받는 해킹 그룹인 라자루스(Lazarus)가 다시 한 번 사기 행각을 벌이다가 발각됐다. 이번에는 정상적인 깃허브(GitHub) 계정을 가진 개발자 혹은 채용 담당자로 위장해 개발자들에게 접근했다. 일종의 소셜엔지니어링 공격을 깃허브에서 진행한 것으로, 개발자들을 개발 프로젝트에 초대한 후 악성 npm 패키지를 전송해 감염시키는 수법을 쓰고 있었다고 한다.
[이미지 = gettyimagesbank]
현재까지 공격자들이 활용한 소셜미디어 플랫폼은 링크드인, 슬랙, 텔레그램이었다. 깃허브 계정과 악성 npm 패키지들이 연루되긴 했지만 이 두 플랫폼이 직접 뚫린 건 아닌 것으로 밝혀졌다. 이 캠페인의 궁극적인 목표는 멀웨어 공격을 실시할 수 있도록 특정 깃허브 리포지터리에 저장되어 있는 내용을 복제하여 실행시킴으로써 멀웨어를 유포하는 것으로 분석됐다.
“이들은 단순히 가짜 계정만 만드는 게 아닙니다. 아예 가짜 인격을 만들 때도 있습니다. 다른 개발자들의 계정을 훔치는 것도 당연하고요. 한 플랫폼에서 피해자와 관계를 튼 후 다른 플랫폼으로도 친분을 이어가는 짓도 했습니다. 대단히 집요하고, 사실상 필요한 모든 방법을 동원한다는 뜻입니다.” 깃허브 측의 설명이다.
소프트웨어 공급망 망가트리기
라자루스는 지난 수년 동안 꽤나 많은 종류의 멀웨어를 사용해 왔다. 백도어와 RAT은 물론 랜섬웨어까지, 종잡을 수가 없다. 그 때 그 때 최적의 전략과 도구를 사용해 공격을 이어가고 있으며 실제로 높은 성공률을 기록하고 있기도 하다. 뿐만 아니라 최근 취약점들과 공격 트렌드에 대한 지식도 꽤나 해박한 것으로 알려져 있다. 필요할 때마다 이런 지식을 공격에 활용하기도 한다. 그렇기 때문에 최근 유행하는 것처럼 리포지터리를 통한 공격을 실시한 것이기도 하다. 최근 전 세계 해커들 사이에서 리포지터리를 통해 개발자들을 공격하는 기법이 유행하고 있다.
이번 공격은 정확히 어떤 식으로 진행되었을까? 현재까지 분석된 바에 의하면 다음과 같다.
1) 라자루스 공격자들이 공격 대상자와 대화를 나누고 연락을 주고받는 사이가 된다.
2) 어느 정도 신뢰가 쌓이면 깃허브 프로젝트로 초대해 협업하자고 제안한다.
3) 이 때 라자루스 공격자들은 훔쳐낸 진짜 계정이나 가짜 인격체를 통해 연락을 취하므로 수상해 보이지 않는다.
4) 어느 순간 리포지터리 하나를 제시하고 복사해 가져가라고 한다.
5) 피해자가 이를 따라 자기 컴퓨터에서 실행을 할 경우 악성 npm 패키지가 설치된다.
보통은 미디어 플레이어나 암호화폐 거래 도구를 개발하는 프로젝트라고 피해자들을 꼬드기는 것으로 분석되고 있다. 악성 패키지의 경우 1단계 멀웨어이며, 실행되면서 2단계 페이로드가 다운로드 되어 피해자의 시스템에서 실행된다. 하지만 깃허브 측은 이러한 정보 외에 멀웨어에 대한 세부 내용을 공개하지 않고 있다.
“현재까지 관찰된 바에 의하면 라자루스가 사용하는 두 가지 멀웨어는 순서대로, 연속해서 실행될 때 힘을 발휘하는 것으로 보입니다. 또한 같은 시스템 안에서 실행되어야 하는 것도 분명해 보이고요. 이런 조건들이 성립되었을 경우 공격자들은 TLS 인증서 확인 과정을 우회할 수 있게 되며, 이를 통해 보안이 약화된 애플리케이션을 통해 중간자 공격을 실시할 수 있게 됩니다.”
방어법
현재 깃허브는 이번 라자루스 공격에 활용된 것으로 보이는 npm 및 깃허브 계정들을 모두 차단한 상태다. 또한 침해지표도 공유하고 있다. 피해자들의 제보도 접수받고 있다. 그 외에 위험 완화 대책도 사용자들에게 적극 알리는 중이다.
“이번 라자루스 공격에 당한 것으로 의심이 된다면 action:repo.add_member 이벤트 보안 로그를 다시 한 번 점검하는 것을 권장합니다. 깃허브가 위험하다고 판단하고 있는 계정으로부터 초대를 받은 적이 있는지 확인할 수 있을 겁니다. 확인 결과 표적이 된 것이 파악되었다면 즉시 회사 사이버 보안 책임자와 상담하는 것을 추천합니다. 회사 네트워크 어딘가에 라자루스의 멀웨어가 퍼져 있을 가능성이 있기 때문입니다.”
이미 라자루스가 제공한 npm 패키지를 실행했다면 “해장 장비를 아예 말끔히 삭제하고 처음부터 세팅을 다시 하는 게 좋다”고 하며 “그 후 각종 계정들의 비밀번호를 변경해야 한다”고 깃허브는 권고하고 있다. 또한 “개발자들이라면 소셜미디어를 통해 들어오는 협업이나 스카우트 제안에 대하여 철저하게 확인한 후에 응하는 것이 좋을 것”이라는 내용도 깃허브는 잊지 않고 있다. “지금은 개발자들이 가장 선호되는 표적이라는 걸 기억해야 합니다.”
[이미지 = gettyimagesbank] 