NodeLoader 악성코드 분석: Node.js 기반 로더로 광범위 공격

NodeLoader Exposed: The Node.js Malware Evading Detection

NodeLoader Exposed: The Node.js Malware Evading Detection

 

• 개요
  • NodeLoader는 Node.js를 활용하여 Windows 실행 파일로 빌드된 새로운 악성 로더
  • 주요 목적: 암호화폐 채굴(XMRig) 및 정보 탈취(Lumma, Phemedrone Stealer) 악성코드 다운로드·실행
  • pkg(NPM 모듈)로 Node.js 코드를 단일 윈도우 실행 파일로 컴파일, 안티바이러스 탐지 회피
• 공격 흐름(Attack Chain)
  • 유튜브(YouTube)와 디스코드(Discord) 등 커뮤니티 플랫폼에서 가짜 게임 핵 관련 영상을 제작하여 악성 링크 유포
  • 악성 링크로 연결된 가짜 웹사이트(예: Korepi 유사 디자인) 통해 ZIP 파일 다운로드 유도
  • 압축 해제 후 NodeLoader 실행 파일(Node.js로 컴파일된 EXE) 실행
  • NodeLoader는 PowerShell 스크립트(script.ps1) 다운로드 및 실행
  • PowerShell 스크립트를 통해 두 번째 페이로드(drop1.exe, drop2.exe) 다운로드 및 실행
    • drop2.exe: XMRig 채굴기 설치
    • drop1.exe: 정보 탈취 스틸러(Phemedrone, Lumma 등) 설치
• 기술적 특징
  1. Node.js 로더 구조
     • sudo-prompt 모듈 활용해 권한 상승(UAC 사용)
     • 컴파일 시 V8 JavaScript 엔진과 함께 번들링되어 배포
     • I/O 처리용 libuv 라이브러리 포함
  2. 방어 회피(Defense Evasion)
     • tasklist 명령으로 특정 프로세스(브라우저, 게임 런처 등) 확인
     • 발견된 프로세스가 없으면 실행 중단
     • 크기 35MB 이상 대형 파일로 인해 AV 탐지 우회
  3. PowerShell 스크립트 활용
     • C:\ProgramData\SystemInfo 폴더 생성 후, add_exclusion.ps1 저장 및 실행
     • drop1.exe, drop2.exe 등 최종 페이로드 다운로드
     • 경우에 따라 Windows Defender 예외 경로 추가, Windows 업데이트 제거 등 반탐지 기술 적용
  4. 페이로드 종류
     • XMRig: 암호화폐 채굴
     • Phemedrone Stealer: 브라우저 쿠키·자격 증명 탈취, Telegram 이용 전송
     • Lumma Stealer: .NET 기반 로더로 쉘코드 삽입, 레지스트리에 저장된 정보 탈취 등
       • RegAsm.exe 프로세스 생성 후 메모리에 페이로드 삽입
• 공격 캠페인 특징
  • 유튜브 영상 설명란에 악성 링크 다수 포함
  • 가짜 게임 웹사이트 통해 ZIP 파일 배포
  • 지속적인 스틸러 교체로 탐지 우회 및 다단계 페이로드 변조
• 보안 권고
  1. 소셜 엔지니어링 대처
     • 유튜브/디스코드 등에서 무료 게임 핵, 치트 제공 링크 주의
     • 공식 채널이 아닌 인증되지 않은 다운로드 링크는 의심
  2. 엔드포인트 보안 강화
     • PowerShell 스크립트 모니터링 및 실행 정책 제한
     • AntiVirus/EDR 솔루션 최신 업데이트 유지
     • 정적·동적 분석으로 대형 파일(35MB 이상 EXE) 탐지 규칙 보완
  3. 권한 상승 방지
     • UAC 설정을 상향, 의심 실행 파일이 관리자 권한 획득하는지 모니터링
  4. 네트워크 보안
     • 웹 트래픽 SSL/TLS 전면 분석(SSL Inspection)으로 악성 URL 필터링
     • 브라우저 격리(Isolation) 및 IP/도메인 차단 정책 적용