북한 해커들의 악성 코드 배포
미국의 사이버 보안 회사는 북한 해커들이 세계에서 가장 널리 사용되는 소프트웨어 라이브러리 중 하나를 악성 코드 배포 시스템으로 전환했다고 밝혔습니다. 지난주, 공급망 보안 회사인 Socket의 연구자들은 300개 이상의 악성 코드 패키지가 npm 레지스트리에 업로드된 것을 발견했다고 보고했습니다. npm은 수백만 명의 개발자들이 JavaScript 소프트웨어를 공유하고 설치하는 중앙 저장소입니다.
악성 코드의 작동 방식
이 패키지들은 웹사이트부터 암호화폐 애플리케이션에 이르기까지 사용되는 재사용 가능한 코드의 작은 조각으로, 무해해 보이도록 설계되었습니다. 그러나 다운로드되면 비밀번호, 브라우저 데이터 및 암호화폐 지갑 키를 훔칠 수 있는 악성 코드가 설치됩니다. Socket은 이 캠페인을 “전염성 인터뷰”라고 부르며, 블록체인, Web3 및 관련 산업에서 일하는 개발자들을 겨냥하기 위해 기술 채용자로 가장하는 북한 국가 지원 해커들이 운영하는 정교한 작전의 일환이라고 밝혔습니다.
공급망 공격의 위험성
npm은 본질적으로 현대 웹의 중추입니다. 이를 손상시키면 공격자가 수많은 하위 애플리케이션에 악성 코드를 삽입할 수 있습니다. 보안 전문가들은 이러한 “소프트웨어 공급망” 공격이 합법적인 업데이트와 의존성을 통해 보이지 않게 퍼지기 때문에 사이버 공간에서 가장 위험한 공격 중 하나라고 수년간 경고해왔습니다.
공격자의 전술과 목표
Socket의 연구자들은 인기 있는 라이브러리인 express, dotenv 및 hardhat의 잘못된 철자 버전과 이전에 식별된 북한 악성 코드 패밀리인 BeaverTail 및 InvisibleFerret와 연결된 코드 패턴을 통해 이 캠페인을 추적했습니다. 공격자들은 암호화된 “로더” 스크립트를 사용하여 숨겨진 페이로드를 메모리에서 직접 해독하고 실행하여 디스크에 거의 흔적을 남기지 않았습니다.
“많은 패키지가 제거되기 전에 약 50,000회의 악성 패키지 다운로드가 발생했지만, 일부는 여전히 온라인에 남아 있습니다.”
해커들은 또한 가짜 LinkedIn 채용자 계정을 사용했으며, 이는 미국 사이버 보안 및 인프라 보안청(CISA)에서 문서화한 이전의 DPRK 사이버 스파이 작전과 일치하는 전술입니다. 조사자들은 궁극적인 목표가 접근 자격 증명과 디지털 지갑을 보유한 기계였다고 믿고 있습니다.
보안 대응과 권장 사항
Socket의 발견은 북한과 관련된 암호화폐 도난 사건을 연결하는 다른 보안 그룹 및 정부 기관의 보고서와 일치하지만, 손상된 패키지의 정확한 수와 같은 모든 세부 사항에 대한 독립적인 검증은 아직 진행 중입니다. 그럼에도 불구하고 기술적 증거와 설명된 패턴은 평양에 귀속된 이전 사건과 일치합니다.
npm의 소유자인 GitHub은 악성 패키지를 발견할 경우 제거하고 계정 검증 요구 사항을 개선하고 있다고 밝혔습니다. 그러나 연구자들은 이 패턴이 whack-a-mole과 같다고 말합니다: 하나의 악성 패키지 세트를 제거하면 수백 개의 다른 패키지가 곧 그 자리를 차지합니다.
개발자와 암호화폐 스타트업에게 이 사건은 소프트웨어 공급망이 얼마나 취약해졌는지를 강조합니다. 보안 연구자들은 팀이 모든 “npm install” 명령을 잠재적인 코드 실행으로 간주하고, 프로젝트에 병합하기 전에 의존성을 스캔하며, 변조된 패키지를 잡기 위해 자동화된 검증 도구를 사용할 것을 권장합니다. 오픈 소스 생태계의 강점인 개방성은 적들이 이를 무기화하기로 결정할 때 가장 큰 약점으로 남아 있습니다.
