[데이터넷] 북한 배후 공격그룹 라자루스가 암호화폐 분야를 대상으로 오픈소스 공급망 공격을 진행하는 정황이 포착됐다. 체크막스는 4월 초부터 몇 개의 수상한 NPM 패키지가 감지돼 추적, 분석한 결과 라자루스 연관 그룹의 공격 활동인 것으로 확인됐다고 2일 블로그를 통해 공개했다. 또 이 공격이 미국의 ID·액세스 기업 점프클라우드(JumpCloud) 공급망 공격에도 사용된 것으로 보인다고 설명했다.

깃허브는 4월 감염된 NPM 패키지가 발견되고 있으며 북한 관련 제이드 슬리트(Jade Sleet), 트레이더 트레이터(TraderTraitor) 공격그룹이 연관돼 있다고 밝혔다. 체크막스는 이들이 라자루스와 연결된 그룹이라고 설명한다.

체크막스는 국가 주체가 오픈소스를 이용해 공급망 공격을 조직적으로 벌이고 있다는 것을 보여준 최초의 사례라고 강조한다. 공격자는 가짜 개발자 평판을 사용해 개발자들이 악의적인 오픈소스 패키지를 사용하도록 유도하는 사회공학 기법을 사용했다. 악성 패키지는 2개의 다른 패키지로 나뉘어 있었으며, 인코딩 기술을 사용해 페이로드를 지속적으로 바꾸어 정적분석과 다른 보안 탐지 기술을 회피했다.

공격자들이 주로 노리는 조직은 블록체인, 암호화폐, 온라인 도박 분야이다. 개발자·채용 담당자를사칭하면서 이 분야에 종사하는 사람들에게 링크드인, 슬랙, 텔레그램을 통해 접근한다. 피해자와 친분을 쌓은 후 깃허브 저장소로 초대하는데, 여기에 좋은 평판을 가진 것처럼 위조된 악의적인 NPM 패키지가 포함돼 있으며, 이를 피해자가 서비스에 적용하도록 해 감염시킨다.

6월에는 한층 더 전략적으로 다음어진 악성 패키지가 유포됐는데, 다운로드 즉시 실행하지 않고, 다음 단계 공격을 실행할 준비가 될 때까지 기다린다. 악성 패키지 오류를 제거해 공격 중 작업이 중단되지 않도록 했으며, base64 인코딩을 사용해 탐지를 어렵게 만들었다.

체크막스 블로그는 “악성 NPM 패키지를 찾아 제거하면서 오픈소스 공급망 피해를 줄이는 것이 중요하지만, 더 집중해야 하는 것은위협 주체, 동기, 전술을 이해하고 종합적으로 대처하며 디지털 생태계 보안을 유지하는 것”이라며 “생태계 안전을 위해 모두 함께 노력해야 한다”고 밝혔다.

김선애 기자 다른기사 보기