GitVenom 캠페인, GitHub 저장소를 악용한 악성코드 유포

GitVenom Campaign Abuses Thousands of GitHub Repositories to Infect Users

GitVenom Campaign Abuses Thousands of GitHub Repositories to Infect Users

 

• 캠페인 개요
  • GitVenom은 GitHub 저장소를 악용해 악성코드를 유포하고 암호화폐를 탈취하는 정교한 사이버 위협 캠페인
  • 수백 개의 가짜 GitHub 저장소를 만들어 개발자를 속여 악성코드를 다운로드 및 실행하게 만듦
  • 이로 인해 사용자는 심각한 금융적 피해를 입을 수 있음
• 악성 코드 배포 방식
  • 다양한 프로그래밍 언어 사용
    • Python, JavaScript, C, C++, C#을 포함한 여러 언어로 악성 프로젝트 생성
    • 주로 소셜 미디어 자동화 도구나 암호화폐 관리 툴을 가장하여 유인
  • 언어별 악성코드 기법
    • Python: 긴 탭 문자 후 악성 Python 스크립트를 복호화하여 실행
    • JavaScript: Base64로 인코딩된 스크립트를 디코딩하여 악성코드 실행
    • C, C++, C#: Visual Studio 프로젝트 파일에 악성 배치 스크립트를 숨겨 빌드 시 실행
  • 추가 악성 구성 요소 다운로드
    • 공격자가 제어하는 GitHub 저장소에서 추가 악성 구성 요소를 다운로드
    • Node.js Stealer: 사용자 인증 정보 및 암호화폐 지갑 데이터를 수집
    • 통신 방식: Telegram을 통해 탈취된 데이터를 공격자에게 전송
    • 도구 사용: AsyncRAT 및 Quasar 백도어를 사용해 원격 제어 수행
  • Clipboard Hijacker(클립보드 하이재커)
    • 암호화폐 지갑 주소를 공격자 소유의 주소로 교체하여 피해자의 자금을 탈취
    • 실제 사례: 2024년 11월, 공격자가 제어하는 비트코인 지갑에 약 5 BTC(당시 약 485,000 달러) 전송
• 활동 지역 및 위험성
  • 활동 지역
    • 전 세계적으로 감염 시도 감지
    • 특히 러시아, 브라질, 터키에서 많은 감염 사례 발생
  • 위험성
    • GitHub 및 기타 오픈 소스 플랫폼에서 제공되는 코드를 무분별하게 실행할 경우 큰 위험
• 보안 권고
  • 서드파티 코드 검증 필수
    • 실행 또는 프로젝트에 통합하기 전에 제3자 코드 철저히 점검
    • 의심스러운 코드 패턴 확인 및 기능 설명과의 일치 여부 검증
  • 코드 분석 방법
    • 예상치 않은 Base64 인코딩, 긴 탭 문자, 비정상적인 스크립트 실행 검토
    • Visual Studio 프로젝트 파일 내 숨겨진 배치 스크립트 확인
  • 모범 사례
    • 알려지지 않은 GitHub 저장소나 검증되지 않은 소스의 코드 사용 자제
    • 코드 실행 전 로컬 환경에서 샌드박스 및 정적/동적 분석 수행
    • 중요 데이터(암호화폐 지갑, 인증 정보) 보호를 위해 클립보드 보안 도구 사용
• 결론
  • GitVenom 캠페인은 오픈 소스 코드 사용 시의 위험성을 극명하게 보여줌
  • 개발자는 코드의 출처와 내용을 항상 검증하고, 의심스러운 행동을 감지할 수 있는 보안 도구를 활용해야 함
  • 오픈 소스 생태계가 계속 확장됨에 따라 유사한 공격이 증가할 가능성이 높아 보안 인식 제고가 필요