200 Malicious GitHub Repositories Distributing Malware to Developers
200 Malicious GitHub Repositories Distributing Malware to Developers
A sophisticated malware campaign dubbed GitVenom has infected over 200 GitHub repositories, targeting developers.
gbhackers.com
- 공격 개요
- GitVenom이라는 악성코드 캠페인이 200개 이상의 GitHub 리포지토리를 감염시켜 개발자를 대상으로 악성코드를 배포
- 위장 프로젝트를 통해 시스템을 감염시키고, 암호화폐 지갑을 포함한 민감한 데이터 탈취
- Kaspersky 보고서에 따르면, GitVenom 캠페인으로 최소 5 BTC(약 $485,000)를 탈취
- 공격 방법 및 회피 기술
- 유명 개발 도구(예: Telegram 봇, Valorant 해킹 도구, Instagram 자동화 스크립트, Bitcoin 지갑 관리자)로 위장
- README.MD 파일을 여러 언어로 정교하게 작성
- 설치 가이드, 사용 예시, 문제 해결 팁 포함
- 예시: Python 기반 Instagram 팔로워 봇 리포지토리에 API 키 설정 방법을 제공하여 신뢰성을 높임
- 자동 커밋 위장
- 타임스탬프 기반 자동 커밋 생성을 통해 활발한 프로젝트인 척 위장
- 6개월간 12,000회 이상의 커밋 기록을 통해 GitHub의 '최근 업데이트' 정렬 필터 우회
- 이 전략으로 검색 결과 상위 노출에 성공
- 주요 악성 페이로드 및 금융적 피해
- GitVenom의 악성코드는 Python, JavaScript, C, C++, C# 등 다양한 언어로 작성
- 주요 페이로드
- Node.js Stealer: 사용자 이름, 비밀번호, 브라우저 기록, 암호화폐 지갑 데이터 수집 후 Telegram 봇을 통해 유출
- AsyncRAT: 키로깅, 화면 캡처, 원격 명령 실행 기능 제공
- Clipper Malware: 암호화폐 지갑 주소를 공격자 주소로 자동 대체
- 2024년 11월, 5 BTC 단일 전송 기록 확인
- 피해 지역
- 러시아, 브라질, 터키, 동남아시아
- 지역별 맞춤형 공격 미끼 사용
- 예: 브라질에서는 CPF 생성기(국가 ID 도구), 터키에서는 VPN 우회 도구
- 보안 권고
- 코드 의존성 수동 검토 권장
- 특히 2단계 인증(2FA)이 없는 프로젝트에 주의
- 공격자는 리포지토리 게시 며칠 전에 생성된 단일 계정을 자주 사용
- 저장소의 '별(stars)'과 '포크(forks)' 수를 감사해야 함
- 예: 200개의 별이 있으나 포크가 2개뿐이라면 봇 활동 가능성 의심
- 직접 링크 모니터링
- 미확인 포럼이나 의심스러운 메시지를 통해 제공된 URL을 통한 다운로드 금지
- URL 단축기를 사용해 GitHub 링크를 위장하는 경우 주의
- 코드 의존성 수동 검토 권장
- 결론
- GitVenom 캠페인은 오픈 소스 생태계의 공급망 공격 위험성을 강조
- GitHub는 식별된 리포지토리 제거했으나, 유사한 캠페인의 반복 가능성 존재
- 코드 감사, 엔드포인트 보호 도구 사용, 적극적인 보안 정책 적용을 통해 방어 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 개인정보 제공기록 작성 및 공개 의무화 정책 발표 (0) | 2025.03.08 |
|---|---|
| PCI DSS 4.0 요구사항 6.4.3 및 11.6.1 준수 방법 (0) | 2025.03.08 |
| APAC 산업을 겨냥한 FatalRAT 피싱 공격, 중국 클라우드 서비스 이용 (0) | 2025.03.08 |
| 2,500개 이상의 Truesight.sys 드라이버 변종을 활용한 EDR 우회 및 HiddenGh0st RAT 배포 공격 (0) | 2025.03.08 |
| 악성 npm 패키지, 개발자를 노린 공급망 공격 발생 (0) | 2025.03.08 |