Kant's IT/Issue on IT&Security

GitVenom 캠페인, 가짜 GitHub 프로젝트로 게이머와 암호화폐 투자자 노린다

Kant Jo 2025. 3. 9. 23:00

GitVenom campaign targets gamers and crypto investors by posing as fake GitHub projects

 

GitVenom campaign targets gamers and crypto investors by posing as fake GitHub projects

GitVenom malware campaign targets gamers and crypto investors by posing as open-source projects on GitHub.

securityaffairs.com

 

  • GitVenom 캠페인 개요
    • GitVenom은 악성코드를 포함한 가짜 GitHub 프로젝트를 통해 게이머와 암호화폐 투자자를 대상으로 한 악성코드 캠페인
    • 공격자는 자동화 도구, 암호화폐 봇, 해킹 유틸리티 등을 가장하여 수백 개의 가짜 GitHub 저장소를 생성
  • 공격 기법 및 특징
    • AI로 생성된 README 파일을 사용하여 프로젝트의 정당성을 높임
    • 프로젝트 세부정보, 컴파일 지침 등을 포함해 진짜 오픈소스 프로젝트처럼 보이도록 위장
    • 가짜 커밋 및 태그 조작을 통해 프로젝트의 활성 상태를 가장
    • 여러 프로그래밍 언어로 구현된 프로젝트 활용
      • Python: 악성 스크립트를 설치 및 실행
      • JavaScript: 악성 스크립트를 해독 및 실행
      • C, C++, C#: Visual Studio 파일 내 배치 스크립트 포함
  • 악성코드 종류 및 목표
    • Node.js Stealer: 자격증명 및 암호화폐 데이터 수집
    • AsyncRAT, Quasar 백도어: 원격 제어 기능 제공
    • 클립보드 하이재커: 암호화폐 지갑 주소를 대체하여 5 BTC (약 48만 5천 달러) 수익 창출
  • 감염 지역 및 활동 기간
    • 러시아, 브라질, 터키에서 감염 시도 다수 발생
    • 일부 가짜 프로젝트는 2년 전부터 존재, 최소 수년간 캠페인이 진행되었을 가능성
  • 보안 권고
    • GitHub과 같은 코드 공유 플랫폼에서 가짜 소프트웨어를 감염 유인책으로 사용 가능성 큼
    • 서드파티 코드를 실행하거나 프로젝트에 통합하기 전, 코드가 수행하는 작업을 철저히 검증 필요
    • 개발 환경이 악성 코드에 의해 손상되는 것을 예방하기 위한 보안 검증 절차 강화 필요
    • 개발자는 오픈소스 프로젝트 사용 시 코드 리뷰, 커밋 이력 분석, 저장소 신뢰도 평가 등 다양한 방법으로 안전성을 평가해야 함