깃허브에 정상 코드 위장 업로드... tasks.json 악용해 은밀히 실행
메타마스크·팬텀 등 24종 이상 지갑 노려... 다단계 페이로드로 탐지 회피
암호화폐 겨냥한 대규모 ‘외화벌이’... 2022년부터 이어진 북한의 지속 공격
[보안뉴스 여이레 기자] 개발자들이 많이 쓰는 코드 편집기 ‘비주얼 스튜디오 코드’(VS코드)를 노린 새로운 유형의 암호화폐 탈취 악성코드가 발견됐다.
[자료: 클로인트]
19일 가상자산 추적·분석 전문기업 클로인트(Kloint) 사이버인텔리전스센터(CIC)에, 따르면 이 악성코드는 깃허브에 정상 오픈소스 프로젝트처럼 위장해 올려져 있다. 개발자가 이 프로젝트를 내려받아 VS코드로 폴더를 열기만 해도 자동 실행돼 브라우저에 저장된 인증정보와 암호화폐 지갑 데이터를 탈취하는 것으로 분석됐다.
이 악성코드는 인터넷 브라우저에 저장된 비밀번호와 암호화폐 지갑 정보를 주로 노린다. 윈도우와 맥OS, 리눅스 등 주요 운영체제를 모두 공격 대상으로 해 광범위한 피해가 우려된다.
공격은 여러 단계를 거쳐 치밀하게 설계됐다. 공격자는 웹 개발이나 인공지능(AI) 등 개발자의 관심을 끌 수 있는 주제로 깃허브에 정상 프로젝트처럼 보이는 저장소를 만든다. 여기엔 실제로 동작하는 코드 일부를 포함시켜 의심을 피한다.
이후 프로젝트 내부에 VS코드가 자동 실행하는 설정 파일인 ‘tasks.json’을 심어 폴더를 열 때 자동으로 동작하도록 설정하고, 실행 창을 숨겨 사용자가 알아채지 못하도록 구성한다. 악성코드 본체는 폰트 파일(woff2)이나 이미지 파일(svg, jpeg)로 위장해 보안 솔루션의 탐지를 우회한다.
개발자가 이프로젝트를 VS코드로 열면 은닉된 악성코드가 자동 실행돼 크롬, 파이어폭스, 에지 등 브라우저에 저장된 비밀번호·쿠키·자동완성 정보와 메타마스크, 팬텀 등 24종 이상의 암호화폐 지갑 확장 프로그램 데이터, 시스템 보안 정보를 수집해 공격자 서버로 전송한다.
클로인트는 이번 공격이 북한 연계 해킹 조직이 수행 중인 ‘컨테이저스 인터뷰’(Contagious Interview) 캠페인의 일환이라고 봤다. 컨테이저스 인터뷰는 북한 해킹 조직이 최소 2022년 12월부터 진행해온 대규모 공격이다. 개발자 대상 가짜 채용 면접 또는 악성 깃허브 저장소 등을 통해 악성코드를 유포하는 것이 특징이다.
또 암호화폐를 집중적으로 노리는 점이 북한의 외화벌이 전략과 일치하고, 국제 제재를 우회하기 위한 암호화폐 탈취 활동과도 맥을 같이 한다고 밝혔다.
개발자를 표적으로 삼는 방식이 기존 컨테이저스 인터뷰 캠페인 및 북한 공격 패턴과 유사하며, 다단계 페이로드 구조와 세부 공격 기법 역시 북한 해킹조직 ‘라자루스’의 전형적 특징과 맞아떨어진다는 설명이다.
클로인트는 이번 위협 분석과 함께 ‘[보안권고문] Visual Studio Code 자동 작업 실행 기능의 보안 위험’을 발행했다. 권고문엔 VS코드의 tasks.json 자동 실행 기능이 악용될 수 있는 구체적 시나리오와 이를 방지하기 위한 설정 방법이 안내돼 있다.
클로인트 관계자는 “이번에 발견된 공격은 개발자를 직접 노린 정교한 사회공학 공격”이라며 “개발 도구의 편리한 자동화 기능이 공격 벡터로 악용될 수 있다는 점에서 개발자 커뮤니티 전반, 특히 암호화폐를 보유했거나 블록체인 프로젝트에 참여하는 개발자의 보안 인식 강화가 시급하다”고 했다.
[여이레 기자(gore@boannews.com)]
메타마스크·팬텀 등 24종 이상 지갑 노려... 다단계 페이로드로 탐지 회피
암호화폐 겨냥한 대규모 ‘외화벌이’... 2022년부터 이어진 북한의 지속 공격
[보안뉴스 여이레 기자] 개발자들이 많이 쓰는 코드 편집기 ‘비주얼 스튜디오 코드’(VS코드)를 노린 새로운 유형의 암호화폐 탈취 악성코드가 발견됐다.
[자료: 클로인트]
19일 가상자산 추적·분석 전문기업 클로인트(Kloint) 사이버인텔리전스센터(CIC)에, 따르면 이 악성코드는 깃허브에 정상 오픈소스 프로젝트처럼 위장해 올려져 있다. 개발자가 이 프로젝트를 내려받아 VS코드로 폴더를 열기만 해도 자동 실행돼 브라우저에 저장된 인증정보와 암호화폐 지갑 데이터를 탈취하는 것으로 분석됐다.
이 악성코드는 인터넷 브라우저에 저장된 비밀번호와 암호화폐 지갑 정보를 주로 노린다. 윈도우와 맥OS, 리눅스 등 주요 운영체제를 모두 공격 대상으로 해 광범위한 피해가 우려된다.
공격은 여러 단계를 거쳐 치밀하게 설계됐다. 공격자는 웹 개발이나 인공지능(AI) 등 개발자의 관심을 끌 수 있는 주제로 깃허브에 정상 프로젝트처럼 보이는 저장소를 만든다. 여기엔 실제로 동작하는 코드 일부를 포함시켜 의심을 피한다.
이후 프로젝트 내부에 VS코드가 자동 실행하는 설정 파일인 ‘tasks.json’을 심어 폴더를 열 때 자동으로 동작하도록 설정하고, 실행 창을 숨겨 사용자가 알아채지 못하도록 구성한다. 악성코드 본체는 폰트 파일(woff2)이나 이미지 파일(svg, jpeg)로 위장해 보안 솔루션의 탐지를 우회한다.
개발자가 이프로젝트를 VS코드로 열면 은닉된 악성코드가 자동 실행돼 크롬, 파이어폭스, 에지 등 브라우저에 저장된 비밀번호·쿠키·자동완성 정보와 메타마스크, 팬텀 등 24종 이상의 암호화폐 지갑 확장 프로그램 데이터, 시스템 보안 정보를 수집해 공격자 서버로 전송한다.
클로인트는 이번 공격이 북한 연계 해킹 조직이 수행 중인 ‘컨테이저스 인터뷰’(Contagious Interview) 캠페인의 일환이라고 봤다. 컨테이저스 인터뷰는 북한 해킹 조직이 최소 2022년 12월부터 진행해온 대규모 공격이다. 개발자 대상 가짜 채용 면접 또는 악성 깃허브 저장소 등을 통해 악성코드를 유포하는 것이 특징이다.
또 암호화폐를 집중적으로 노리는 점이 북한의 외화벌이 전략과 일치하고, 국제 제재를 우회하기 위한 암호화폐 탈취 활동과도 맥을 같이 한다고 밝혔다.
개발자를 표적으로 삼는 방식이 기존 컨테이저스 인터뷰 캠페인 및 북한 공격 패턴과 유사하며, 다단계 페이로드 구조와 세부 공격 기법 역시 북한 해킹조직 ‘라자루스’의 전형적 특징과 맞아떨어진다는 설명이다.
클로인트는 이번 위협 분석과 함께 ‘[보안권고문] Visual Studio Code 자동 작업 실행 기능의 보안 위험’을 발행했다. 권고문엔 VS코드의 tasks.json 자동 실행 기능이 악용될 수 있는 구체적 시나리오와 이를 방지하기 위한 설정 방법이 안내돼 있다.
클로인트 관계자는 “이번에 발견된 공격은 개발자를 직접 노린 정교한 사회공학 공격”이라며 “개발 도구의 편리한 자동화 기능이 공격 벡터로 악용될 수 있다는 점에서 개발자 커뮤니티 전반, 특히 암호화폐를 보유했거나 블록체인 프로젝트에 참여하는 개발자의 보안 인식 강화가 시급하다”고 했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
