라자루스 그룹, NPM 패키지를 악용한 자격 증명 탈취 및 백도어 설치 공격 분석

Lazarus Hackers Exploit 6 NPM Packages to Steal Login Credentials

Lazarus Hackers Exploit 6 NPM Packages to Steal Login Credentials

 

• 공격 개요
  • 북한 연계 APT 조직인 라자루스(Lazarus) 그룹이 NPM 패키지를 악용해 개발자 시스템 침투
  • NPM 생태계 내 신뢰 라이브러리명을 모방한 타이포스쿼팅(Typosquatting) 기법을 활용
  • 총 6개 악성 패키지 확인
    • is-buffer-validator, yoojae-validator, event-handle-package,
    • array-empty-validator, react-event-dependency, auth-validator
• 침투 방식 및 악성 기능
  • 악성 JavaScript 코드 삽입
    • 자기호출 함수(self-invoking function), 동적 함수 생성자 사용 등 난독화 적용
    • 다단계 페이로드 및 지속적 접근(persistence)을 위한 후속 악성코드 설치
  • 주요 탈취 대상
    • Chrome, Brave, Firefox 브라우저의 로그인 정보 파일
    • macOS 키체인(암호 저장소) 아카이브
    • 환경 변수, 시스템 정보, 암호화폐 지갑 파일 등
  • 수집된 데이터는 하드코딩된 명령제어(C2) 서버로 전송
• 사용 악성코드
  • BeaverTail: 정보 수집 및 페이로드 설치 기능을 포함한 트로이목마
  • InvisibleFerret: 후속 명령 수신 및 시스템 백도어 유지 역할 수행
• TTP 및 라자루스 그룹과의 연관성
  • 이전 라자루스 공격과 유사한 구조의 멀티스테이지 페이로드와 난독화 방식 사용
  • Windows, macOS, Linux 플랫폼을 동시에 겨냥한 크로스 플랫폼 악성코드
  • 2022년 이후 문서화된 라자루스 활동과 코드 수준에서 유사점 다수 확인
  • 직접적 단서는 부족하나 공격 전술(TTPs)이 고도로 일치
• 공급망 보안 위협 관점에서의 시사점
  • 낮은 다운로드 수와 비인증 개발자가 배포한 패키지가 개발자 환경 침투에 활용됨
  • 개발자가 패키지 설치 시 주의하지 않으면 공급망 경로로 악성코드 확산 가능
• 보안 권고
  • 자동화된 의존성 감사 및 코드 리뷰 도입
    • 신규 설치 패키지의 개발자, 릴리즈 내역, 다운로드 수 등 정밀 분석 필요
  • 의심스러운 패키지 업데이트에 대한 지속적인 모니터링 체계 운영
  • 악성 C2 서버로의 아웃바운드 트래픽 차단 설정 필수
  • 개발자 대상 타이포스쿼팅 및 패키지 위조 기법에 대한 보안 인식 교육 강화
  • SCA(Software Composition Analysis) 기반 공급망 보안 체계 내재화
• 결론
  • 라자루스 그룹은 개발자 도구 체계를 이용한 공급망 침투 전략을 강화하고 있으며, 소프트웨어 개발 생태계를 주요 공격 벡터로 삼고 있음
  • npm 패키지처럼 자주 사용되는 생태계는 취약한 타깃이 될 수 있으며, 보안 조치가 미비할 경우 광범위한 확산으로 이어질 수 있음
  • 공급망 보안은 단일 시스템이 아닌 생태계 전반을 고려한 전략적 방어가 필요