원격 근무로 일하는 프리랜서로 위장해 다운스트림 공격망 공격 노리는 등도 시도
팔로알토 네트웍스 유닛42 분석...화상면접 과정에서 구직자에게 멀웨어 설치 유도
[보안뉴스 김영명 기자] 최근 구인·구직 활동과 관련해 ‘컨테이져스 인터뷰(Contagious Interview)’와 ‘웨이지몰(Wagemole)’ 등 2가지 멀웨어가 발견돼 주의를 끌고 있다. ‘컨테이저스 인터뷰’라고 명명된 첫번째 멀웨어는 위협 행위자가 고용주로 위장해 소프트웨어 개발자가 면접 과정을 통해 멀웨어를 설치하도록 유인하는 캠페인이다.
▲유닛42는 북한 위협행위자들이 소프트웨어 개발 구직자 및 구인 기업들을 노리는 공격을 시도하고 있고 안내했다[자료=팔로알토 네트웍스]
글로벌 차세대 사이버보안 기업 팔로알토 네트웍스(Palo Alto Networks)는 위협 연구기관 유닛42(Unit42)의 조사를 바탕으로, 북한의 지원을 받는 위협 행위자들이 소프트웨어 개발 구직자 및 구인 기업들을 노리는 공격을 시도하고 있다며 이에 대한 주의를 당부했다. 팔로알토 네트웍스의 추적에 따르면, 이 캠페인은 2022년 12월 초부터 시작돼 여전히 활동 중이다. 공격의 주요 목적은 암호화폐를 탈취하고, 이후의 추가 공격을 위한 준비환경을 마련하는데 있다.
이 공격은 위협 행위자가 타깃이 되는 피해자를 화상 인터뷰에 참여하도록 초대하며 시작된다. 인터뷰 중 위협 행위자는 피해자에게 깃허브(GitHub)에서 호스팅되는 NPM(Node Package Manager) 기반 패키지를 다운로드해 설치하도록 유도한다. 위협 행위자는 피해자에게 이 패키지를 검토 또는 분석할 소프트웨어로 제시하지만, 실제로는 피해자의 호스트를 백도어 멀웨어로 감염시키도록 설계된 악성 자바스크립트가 포함돼 있는 방식이다.
깃허브는 소프트웨어 개발자들을 위한 협업 플랫폼으로, 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용하고 있으며, 그만큼 범죄자들에게도 매력적인 타깃이 된다. ‘컨테이져스 인터뷰’ 공격 배후의 위협 행위자들은 다양한 ID를 생성, 여러 개의 깃허브 리포지토리를 호스팅해 피해자의 신뢰를 얻는 인프라를 구축해 줬다.
‘웨이지몰’이라고 명명된 두 번째 멀웨어는 구직 활동자로 위장한 공격이다. 이 공격을 추적하는 과정에서 노출된 파일에는 다양한 기술 역량이 포함된 여러 신원의 이력서가 포함돼 있으며, 이력서 내에는 링크드인(LinkedIn) 프로필 및 깃허브 콘텐츠로 연결되는 링크가 담겨 있다. 특히, 깃허브 계정에는 코드 업데이트 및 다른 개발자들의 교류가 포함된 다양한 활동 기록이 남아 있는데, 정상적인 계정과 구분이 어려울 정도로 위장했다. 또한, 원격 근무를 희망한다는 내용을 남겨두기도 했다.
이 위협 행위자들은 전 세계 여러 국가에서 프리랜서 구직을 실시하고 있으며, 구인구직 플랫폼에서 평판이 높은 계정을 구매하거나 대여하려는 시도도 여러 곳에서 발견됐다. 이들은 소프트웨어 개발자로 위장해 IT 채용 공고를 노려 다운스트림 공급망 공격의 기회를 노린다.
유닛42는 이 두 가지 공격이 △북한이 기존에 국가적 차원에서 후원했던 APT(지능형지속공격)의 양상과 매우 유사하며 △이 공격과 관련된 문서의 비밀번호가 미국 키보드에서 한글을 이용해 만들어졌다는 점 △북한에서만 사용하는 단어가 포함됐고 △이들의 컴퓨터에서 한국어 키보드 언어 설정이 발견된다는 점 등을 근거로 북한이 배후에 있음을 추정했다.
팔로알토 네트웍스는 이 같은 구인구직 관련 멀웨어 예방대책으로, 개인이 구직 및 면접 등의 사적인 용도에 회사에서 지급한 컴퓨터를 사용해서는 안 된다고 권고했다. 위협행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문이다. 또한, 구인 기업에서 깃허브 계정 검토 시 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다고 경고했다. 구직자의 경우 면접을 제안하는 회사의 실존 여부, 합법성 등을 확인하고, 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제조건으로 소프트웨어 패키지를 다운로드하도록 유도하는지 등을 확인해야 한다.
[김영명 기자(boan@boannews.com)]
팔로알토 네트웍스 유닛42 분석...화상면접 과정에서 구직자에게 멀웨어 설치 유도
[보안뉴스 김영명 기자] 최근 구인·구직 활동과 관련해 ‘컨테이져스 인터뷰(Contagious Interview)’와 ‘웨이지몰(Wagemole)’ 등 2가지 멀웨어가 발견돼 주의를 끌고 있다. ‘컨테이저스 인터뷰’라고 명명된 첫번째 멀웨어는 위협 행위자가 고용주로 위장해 소프트웨어 개발자가 면접 과정을 통해 멀웨어를 설치하도록 유인하는 캠페인이다.
▲유닛42는 북한 위협행위자들이 소프트웨어 개발 구직자 및 구인 기업들을 노리는 공격을 시도하고 있고 안내했다[자료=팔로알토 네트웍스]
글로벌 차세대 사이버보안 기업 팔로알토 네트웍스(Palo Alto Networks)는 위협 연구기관 유닛42(Unit42)의 조사를 바탕으로, 북한의 지원을 받는 위협 행위자들이 소프트웨어 개발 구직자 및 구인 기업들을 노리는 공격을 시도하고 있다며 이에 대한 주의를 당부했다. 팔로알토 네트웍스의 추적에 따르면, 이 캠페인은 2022년 12월 초부터 시작돼 여전히 활동 중이다. 공격의 주요 목적은 암호화폐를 탈취하고, 이후의 추가 공격을 위한 준비환경을 마련하는데 있다.
이 공격은 위협 행위자가 타깃이 되는 피해자를 화상 인터뷰에 참여하도록 초대하며 시작된다. 인터뷰 중 위협 행위자는 피해자에게 깃허브(GitHub)에서 호스팅되는 NPM(Node Package Manager) 기반 패키지를 다운로드해 설치하도록 유도한다. 위협 행위자는 피해자에게 이 패키지를 검토 또는 분석할 소프트웨어로 제시하지만, 실제로는 피해자의 호스트를 백도어 멀웨어로 감염시키도록 설계된 악성 자바스크립트가 포함돼 있는 방식이다.
깃허브는 소프트웨어 개발자들을 위한 협업 플랫폼으로, 기본 서비스 옵션이 무료이기 때문에 많은 개발자들이 사용하고 있으며, 그만큼 범죄자들에게도 매력적인 타깃이 된다. ‘컨테이져스 인터뷰’ 공격 배후의 위협 행위자들은 다양한 ID를 생성, 여러 개의 깃허브 리포지토리를 호스팅해 피해자의 신뢰를 얻는 인프라를 구축해 줬다.
‘웨이지몰’이라고 명명된 두 번째 멀웨어는 구직 활동자로 위장한 공격이다. 이 공격을 추적하는 과정에서 노출된 파일에는 다양한 기술 역량이 포함된 여러 신원의 이력서가 포함돼 있으며, 이력서 내에는 링크드인(LinkedIn) 프로필 및 깃허브 콘텐츠로 연결되는 링크가 담겨 있다. 특히, 깃허브 계정에는 코드 업데이트 및 다른 개발자들의 교류가 포함된 다양한 활동 기록이 남아 있는데, 정상적인 계정과 구분이 어려울 정도로 위장했다. 또한, 원격 근무를 희망한다는 내용을 남겨두기도 했다.
이 위협 행위자들은 전 세계 여러 국가에서 프리랜서 구직을 실시하고 있으며, 구인구직 플랫폼에서 평판이 높은 계정을 구매하거나 대여하려는 시도도 여러 곳에서 발견됐다. 이들은 소프트웨어 개발자로 위장해 IT 채용 공고를 노려 다운스트림 공급망 공격의 기회를 노린다.
유닛42는 이 두 가지 공격이 △북한이 기존에 국가적 차원에서 후원했던 APT(지능형지속공격)의 양상과 매우 유사하며 △이 공격과 관련된 문서의 비밀번호가 미국 키보드에서 한글을 이용해 만들어졌다는 점 △북한에서만 사용하는 단어가 포함됐고 △이들의 컴퓨터에서 한국어 키보드 언어 설정이 발견된다는 점 등을 근거로 북한이 배후에 있음을 추정했다.
팔로알토 네트웍스는 이 같은 구인구직 관련 멀웨어 예방대책으로, 개인이 구직 및 면접 등의 사적인 용도에 회사에서 지급한 컴퓨터를 사용해서는 안 된다고 권고했다. 위협행위자가 개인 타깃을 통해 회사 네트워크에 침입할 수 있기 때문이다. 또한, 구인 기업에서 깃허브 계정 검토 시 업데이트가 거의 없거나 단일 리포지토리가 포함된 계정은 의심해 봐야 한다고 경고했다. 구직자의 경우 면접을 제안하는 회사의 실존 여부, 합법성 등을 확인하고, 면접관이 실제로 해당 회사와 일하고 있는지, 면접의 전제조건으로 소프트웨어 패키지를 다운로드하도록 유도하는지 등을 확인해야 한다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
