암호화폐 탈취·추가 공격 위한 감염 시도
[데이터넷] 소프트웨어 개발자 구직·구인 과정에서 멀웨어를 감염시키는 북한 배후 사이버 공격자의 활동이 공개됐다. 팔로알토 네트웍스는 위협 연구 기관 ‘유닛42’의 조사결과를 발표하며 북한의 지원을 받는 공격자들이 소프트웨어 개발 구직자와 구인 기업을 노리는 공격을 시도하고 있다고 밝혔다.
유닛42는 ‘컨테이져스 인터뷰(Contagious Interview)’와 ‘웨이지몰(Wagemole)’이라는 2가지 멀웨어를 추적하고 있다
컨테이저스 인터뷰는 고용주로 위장해 개발자가 면접 과정을 통해 멀웨어를 설치하도록 유인한다. 이 캠페인은 2022년 12월 초부터 현재까지 활동하고 있으며, 암호화폐를 탈취와 추가 공격을 위한 준비환경을 마련하기 위해 진행된다.
공격자는 구직활동 중인 소프트웨어 개발자와 화상 인터뷰를 진행하면서 깃허브에서 호스팅되는 NPM 기반 패키지를 다운로드해 설치하도록 한다. 피해자에게 이 패키지를 검토하거나 분석할 소프트웨어로 제시하는데, 실제로는 피해자의 호스트를 백도어 멀웨어로 감염시키도록 설계된 악성 자바스크립트가 작동하도록 한다.
깃허브는 소프트웨어 개발자들을 위한 협업 플랫폼으로, 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용하고 있으며, 그만큼 범죄자들에게도 매력적인 타깃이 된다. ‘컨테이져스 인터뷰’ 공격 배후의 위협 행위자들은 다양한 ID를 생성해 여러 개의 깃허브 리포지토리를 호스팅함으로써 피해자의 신뢰를 얻는 인프라를 구축해 두었다.
웨이지몰은 구직자로 위장해 기업을 공격하기 위해 유포되고 있다. 공격자는 여러 신원의 이력서를 이용하며, 다양한 기술역량을 가진 사람으로 위장하고 있다. 이력서 내에 링크드인 프로필과 깃허브 콘텐츠로 연결되는 링크가 담겨 있다. 깃허브 계정에는 코드 업데이트와 다른 개발자들의 교류가 포함된 다양한 활동 기록이 남아 있으며, 정상적인 계정과 구분이 어려울 정도로 정교하게 위장했다. 원격 근무를 희망한다는 내용을 남겨두기도 했다.
위협행위자들은 전 세계 여러 국가에서 프리랜서 구직을 실시하고 있으며, 구인 구직 플랫폼에서 평판이 높은 계정을 구매하거나 대여하려는 시도도 여러 곳에서 발견됐다. 이들은 소프트웨어 개발자로 위장해 IT 채용 공고를 노림으로써 다운스트림 공급망 공격의 기회를 노린다.
팔로알토 네트웍스는 구인·구직 관련 멀웨어 예방 대책으로, 개인이 구직과 면접 등의 사적인 용도에 회사에서 지급한 컴퓨터를 사용해서는 안된다고 권고했다. 위협행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문이다.
구인 기업에서 깃허브 계정 검토 시 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다고 경고했다. 구직자의 경우 면접을 제안하는 회사의 실존 여부, 합법성 등을 확인하고, 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제조건으로 소프트웨어 패키지를 다운로드 하도록 유도하는지 등을 확인해야 한다.
한편 팔로알토 네트웍스 고객은 확장형 탐지 대응 플랫폼 ‘코어텍스 XDR’과 차세대 방화벽(NGFW), ‘어드밴스드 와일드파이어’, 고급형 선제 방어(ATP), 어드밴스드 URL 필터링등의 클라우드 보안 서비스를 통해 멀웨어로부터 안전하게 보호받을 수 있으며, 수상한 활동이 감지되면 유닛42 인시던트 대응팀에 문의할 수 있다
