사이버 보안 기업 체크포인트가 최근 공개한 내용에 따르면, '스타게이저 고블린'이라는 이름의 위협 행위자가 깃허브(GitHub)를 악용한 거대한 멀웨어 배포 네트워크를 운영하고 있는 것으로 밝혀졌다. 이 네트워크는 '스타게이저스 고스트 네트워크(Stargazers Ghost Network)'라고 불리며, 3,000개 이상의 가짜 깃허브 계정을 통해 다양한 종류의 멀웨어를 배포하고 있다. 이 네트워크는 지난 1년간 약 10만 달러의 불법 수익을 올린 것으로 추정된다.

■네트워크의 운영 방식

이 네트워크의 주된 방법은 깃허브에 수많은 가짜 계정을 생성하고 유지하는 것이다. 이러한 계정들은 악성 리포지토리를 스타(별표), 포크(복제), 워치(관찰), 구독하여 마치 합법적인 것처럼 보이도록 만든다. 깃허브의 커뮤니티 기능을 악용함으로써, 이 리포지토리들은 인기가 많고 신뢰할 수 있는 것처럼 보이게 하여 사용자를 속인다.

이 리포지토리들은 종종 합법적인 소프트웨어나 게임 치트로 가장한 악성 페이로드 링크를 포함하고 있다. 만약 악성 리포지토리가 깃허브에 의해 감지되고 제거되면, 네트워크는 다른 리포지토리의 링크를 신속하게 업데이트하여 배포 체인을 유지한다.

■다중 플랫폼 운영

체크포인트의 연구에 따르면, 스타게이저스 고스트 네트워크는 깃허브에만 국한되지 않고 디스코드, 페이스북, 인스타그램, X(구 트위터), 유투브와 같은 다른 플랫폼에서도 유사한 가짜 계정을 통해 악성 링크를 퍼뜨리고 있다.

깃허브는 이 네트워크와 관련된 의심스러운 계정과 리포지토리를 비활성화하는 등 적극적인 대응을 하고 있다. 그러나 스타게이저스 고스트 네트워크의 회복력과 적응력은 큰 도전 과제로 남아 있다. 이 네트워크는 서로 다른 역할을 수행하는 계정 세트를 사용하여 일부 계정이 제거되더라도 빠르게 복구할 수 있는 구조를 가지고 있다.

스타게이저스 고스트 네트워크의 발견은 플랫폼 악용의 광범위한 위험을 강조한다. 이 네트워크는 멀웨어 배포 외에도 사회 공학 공격을 수행하고 있다. 예를 들어, "notifications@github.com"에서 발송된 피싱 이메일을 통해 개발자들이 악성 OAuth 앱을 승인하도록 유도하고, 그 결과 리포지토리가 삭제되고 복원 대가로 몸값을 요구하는 공격이 발견되었다.

이와 같은 상황에서, 사이버 보안 전문가들은 사용자가 깃허브와 다른 플랫폼에서 디지털 저장소와 상호작용할 때 주의할 것을 권고하고 있다. 특히 경험이 적은 사용자는 인위적으로 높아진 참여 지표를 가진 저장소에 주의해야 한다. 조직들은 삭제된 포크나 비공개 포크에서도 민감한 데이터가 노출될 수 있는 Cross Fork Object Reference(CFOR)와 같은 취약성에 대비해야 한다고 경고하고 있다.

스타게이저스 고스트 네트워크는 사이버 범죄자들의 진화된 전술을 보여주는 사례다 이러한 정교한 위협으로부터 보호하기 위한 강력하고 지속적인 모니터링이 중요하다.