북한 해커 조직의 프리랜서 개발자 대상 악성코드 배포 캠페인 분석

North Korean Hackers Target Freelance Developers in Job Scam to Deploy Malware

 

• DeceptiveDevelopment 캠페인 개요
  • 북한 Lazarus 그룹 관련 활동으로 확인
  • 전 세계 프리랜서 개발자 대상으로 가짜 채용 공고 활용
  • 암호화폐 지갑 및 브라우저 로그인 정보 탈취 목표
• 공격 방식 및 과정
  • 초기 침투
    • 가짜 채용담당자 계정을 통한 소셜 미디어 및 프리랜서 플랫폼 접근
    • GitHub, GitLab, Bitbucket에 호스팅된 트로이 목마 코드베이스 전달
  • 악성 코드 실행
    • 피해자에게 코드 빌드 및 실행 요구
    • 프로젝트 내 단일 코드 라인에 악성 기능 포함
  • 추가 감염 기법
    • 악성코드 포함된 화상회의 소프트웨어 설치 유도
    • MiroTalk, FreeConference 등 가짜 앱 사용
• 악성코드 구성 요소 및 기능
  • BeaverTail
    • 페이로드 다운로드 및 실행 기능
    • JavaScript 및 Qt 기반 네이티브 버전 존재
  • InvisibleFerret
    • 정보 수집 및 명령 제어 기능 수행
    • 세부 모듈
      • pay: 키로깅, 클립보드 감시, 쉘 명령 실행 및 파일 탈취
      • bow: 브라우저 저장 로그인 및 결제 정보 탈취
      • adc: AnyDesk 설치 통한 지속성 확보
• 주요 피해 대상 및 영향
  • 암호화폐 및 탈중앙화 금융(DeFi) 프로젝트 관련 개발자
  • 주요 피해국: 미국, 인도, 핀란드, 이탈리아, 스페인 등
  • 광범위한 피해를 노리고 전 세계 개발자 무차별 타깃
• 결론
  • 외부 채용 공고 및 프로젝트 요청 시 코드 리뷰 철저
  • 외부 저장소 코드 실행 전 무결성 검증
  • 개인 및 기업 계정 보호를 위한 다중 인증(MFA) 적용
  • 화상회의 소프트웨어 설치 시 공식 사이트 이용 필수