2025-03-14 05:05 (금)
깃허브서 다단계 멀웨어 ‘깃베놈’ 발견...게이머와 가상화폐 투자자 타깃 공격
상태바
깃허브서 다단계 멀웨어 ‘깃베놈’ 발견...게이머와 가상화폐 투자자 타깃 공격
  • 길민권 기자
  • 승인 2025.02.28 12:43
이 기사를 공유합니다
개인 정보 및 비트코인 48만 5천 달러 상당 탈취
탈취자가 공격자에게 보내는 아카이브의 구조. 카스퍼스키 제공.
탈취자가 공격자에게 보내는 아카이브의 구조. 카스퍼스키 제공.

오픈소스 저장소 수백 개에서 다단계 멀웨어(multistaged malware)가 발견됐다. 이 멀웨어는 주로 게이머와 암호화폐 투자자들을 표적으로 삼았으며, 카스퍼스키는 이를 ‘GitVenom(깃베놈)’으로 명명했다.

깃게놈이 숨겨진 악성 프로젝트는 인스타그램 계정을 자동화하는 도구, 원격 비트코인(BTC) 지갑 관리 텔레그램(Telegram) 봇, 게임 발로란트(Valorant) 크랙(crack) 도구 등을 가장하고 있었다. 그러나 이 프로젝트들은 모두 가짜였으며, 피해자의 개인 및 금융 데이터를 탈취하고 클립보드(clipboard)에서 암호화폐 지갑 주소를 가로채는 수법으로 공격이 이루어졌다. 이 결과, 공격자들은 비트코인 5개(조사 당시 약 48만 5천 달러 상당)를 탈취하는 데 성공했다. 카스퍼스키는 전 세계적으로 악성 리포지토리(repository)가 활용되었으며, 특히 브라질, 터키, 러시아에서 다수의 감염 사례가 발견되었다고 밝혔다.

카스퍼스키 연구진에 따르면, 깃게놈 악성 저장소들은 깃허브에서 수년간 운영되어 왔다. 공격자들은 AI로 생성된 것처럼 보이는 프로젝트 설명을 활용해 저장소를 신뢰할 수 있는 것처럼 꾸몄다. 피해자가 이 저장소의 코드를 실행하면, 즉시 악성코드에 감염되며 공격자가 원격으로 피해자의 장치를 제어할 수 있는 상태가 된다.

이 악성 프로젝트는 파이썬(Python), 자바스크립트(JavaScript), C, C++, C# 등 다양한 프로그래밍 언어로 작성되었지만, 공통적으로 감염된 프로젝트에서 추가 악성 구성 요소를 다운로드하고 실행하는 방식으로 작동했다. 이 과정에서 피해자의 비밀번호, 은행 계좌 정보, 저장된 자격 증명, 암호화폐 지갑 데이터 및 검색 기록이 공격자에게 전송되었다. 공격자들은 이 데이터를 .7z 아카이브 파일로 압축하여 텔레그램을 통해 업로드했다.

가상화폐 지갑까지 노린 정교한 공격 방식

깃게놈은 단순한 정보 탈취를 넘어 피해자의 컴퓨터를 원격으로 감시하고 제어할 수 있도록 설계되었다. 공격자들은 원격 관리 도구(Remote Administration Tool)를 활용해 피해자의 장치를 실시간으로 감시하고 조작할 수 있었다. 또한, 클립보드 하이재커(Clipboard Hijacker) 기능을 이용해 피해자가 복사한 암호화폐 지갑 주소를 공격자가 제어하는 주소로 자동 변경하는 방식으로 추가 피해를 유발했다. 실제로 공격자의 비트코인 지갑에는 2024년 11월경 약 5 BTC(조사 당시 약 48만 5천 달러 상당)가 입금된 것이 확인되었다.

이효은 카스퍼스키 한국지사장은 “깃게놈 캠페인은 사이버 범죄자들이 신뢰받는 코드 공유 플랫폼인 깃허브를 악용해 정교한 다단계 악성코드를 배포하는 방식을 점점 더 고도화하고 있음을 보여준다”며, “공격자들은 악성 저장소를 합법적인 개발 도구처럼 위장하여 개발자, 게이머, 암호화폐 투자자들의 신뢰를 악용하고 있다”고 설명했다. 이어 “오픈소스 생태계도 사이버 위협으로부터 안전하지 않으며, 개발자는 서드파티(Third-party) 코드 실행 및 통합 전에 반드시 엄격한 검증을 거쳐야 한다”고 강조했다. 또한, 조직 차원에서 강력한 보안 제어(Security Controls)를 도입하여 무단 코드 실행을 감지하고 차단해야 한다고 덧붙였다.

카스퍼스키 GReAT의 보안 연구원 게오르기 쿠체린(Georgy Kucherin)은 “깃허브와 같은 코드 공유 플랫폼은 전 세계 수백만 명의 개발자들이 사용하기 때문에, 위협 행위자들은 계속해서 가짜 소프트웨어를 활용해 감염을 유도할 가능성이 높다”며, “서드파티 코드 실행 전 반드시 철저한 분석을 수행하여 가짜 프로젝트 여부를 식별해야 한다”고 조언했다. 그는 “이를 통해 개발 환경 내 악성 코드 침투를 사전에 차단할 수 있다”고 강조했다.

이번 깃게놈 사례는 오픈소스 생태계에서도 보안 검증이 필수적임을 다시 한번 상기시켰다. 개발자와 사용자는 오픈소스 프로젝트를 활용할 때 신뢰성을 철저히 확인하고, 최신 보안 솔루션을 적용하는 등 보다 적극적인 보안 조치를 취해야 피해를 최소화할 수 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2025 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트