최근 소프트웨어 개발자를 노리는 DEV#POPPER라는 악성코드 캠페인이 발견되었다. 이 캠페인은 북한의 해커들이 조직한 것으로 추정되며, 구직 인터뷰를 가장해 개발자들에게 악성 소프트웨어를 다운로드하게 만드는 정교한 사회공학적 수법을 사용하고 있다.
공격자는 고용주로 위장해 개발자 직책을 제안하고 가짜 인터뷰를 진행한다. 인터뷰 과정에서 지원자에게 깃허브에서 ZIP 아카이브 파일을 다운로드하도록 요청하는데, 이는 코딩 과제를 위한 것이라고 설명한다. 아카이브 파일에는 obfuscated된 자바스크립트 파일 "imageDetails.js"가 숨겨져 있으며, 이를 실행하면 추가적인 페이로드를 외부 서버에서 다운로드하게 된다.
이 감염 과정은 여러 단계로 이루어진다.
1. 초기 접촉 및 다운로드: 인터뷰 대상자는 GitHub 저장소에서 합법적인 Node.js 프로젝트처럼 보이는 파일을 다운로드한다. 이 프로젝트에는 추가적인 페이로드를 가져오기 위한 obfuscated된 자바스크립트 코드가 포함되어 있다.
2. 악성코드 전달: 악성 자바스크립트 파일은 추가 아카이브 파일을 다운로드하고, 이 파일에는 RAT(원격 접근 트로이 목마)로 기능하는 obfuscated된 파이썬 스크립트 "npl"이 포함되어 있다.
3. 데이터 탈취: RAT가 설치되면 시스템 정보(운영 체제 유형, 호스트 이름, 네트워크 데이터 등)를 C2(명령 및 제어) 서버로 전송하며, 공격자가 명령을 실행하고, 키보드를 기록하며, 파일 시스템에서 데이터를 직접 탈취할 수 있게 한다.
DEV#POPPER 공격 캠페인은 윈도우, 리눅스, macOS를 포함한 여러 운영 체제를 타깃으로 하는 교차 플랫폼 기능을 보여준다. 이는 자원이 풍부하고 적응력이 뛰어난 공격자라는 것을 말하며, 공격 방법을 지속적으로 개선해 그 효과와 범위를 확대하고 있다.
시큐로닉스(Securonix) 연구원들은 이 캠페인이 북한 해커들과 연관되어 있다고 분석하고 있으며, 이러한 작전은 과거에 이들 그룹이 사용한 전술과 일치한다고 언급했다. 깃허브와 같은 합법적인 플랫폼을 통해 악성코드를 배포하는 방식은 탐지 및 예방을 더욱 어렵게 만든다.
개발자들은 구직 인터뷰에서 특히 불분명한 코딩 과제나 알 수 없는 출처에서의 다운로드 요청에 주의해야 한다.
DEV#POPPER 캠페인은 사회공학적 공격의 진화를 보여주며, 구직 과정에서의 신뢰를 악용해 전문적으로 참여하는 개발자를 속이는 전술을 사용하고 있어 각별한 주의가 요구된다.