LIVE PROTOCOL
EET--:--:-- edition--.--.--

북한 연계 해커, 개발자 코드로 위장한 악성코드 유포 정황

북한 연계 해커, 개발자 코드로 위장한 악성코드 유포 정황

북한과 연계된 것으로 의심되는 해커 조직이 개발자들이 쓰는 유명 코드 패키지로 위장해 악성코드를 유포한 정황이 포착됐습니다. 보안업체 분석 결과 이번 수법은 북한 정찰총국 소속으로 알려진 나자루스의 활동 양상과 일치합니다.

북한과 연계된 것으로 의심되는 해커 조직이 개발자들이 널리 쓰는 유명 코드 패키지로 위장해 악성코드를 유포한 정황이 포착됐습니다. 해커들은 이를 통해 감염된 컴퓨터의 화면을 감시하거나 통제권을 빼앗고, 나아가 가상화폐 지갑과 로그인 정보 등을 탈취하려 한 것으로 추정됩니다.

이번 정황은 자바스크립트 개발자들이 사용하는 공식 소프트웨어 저장소에서 악성 코드 패키지 여섯 종이 발견되면서 드러났습니다. 실리콘밸리에 있는 보안기업 J프로그 보안연구소가 이 같은 분석 결과를 공개하며 공급망을 노린 정교한 공격 수법에 주의를 당부했습니다.

해커들의 수법은 상당히 치밀했습니다. 한 달에 백이십만 건 넘게 내려받는 유명 코드 패키지를 정밀하게 모방한 뒤, 그 안에 악성코드를 몰래 끼워 넣고 진짜와 비슷한 이름으로 저장소에 올린 것으로 파악됐습니다. 개발자가 무심코 내려받도록 유도하기 위한 전형적인 위장 방식입니다.

위장의 정교함은 이름에 그치지 않았습니다. 악성 패키지에 딸린 설명서와 연결된 홈페이지 주소마저 원본과 거의 똑같이 꾸며져 있어, 이용자가 진짜와 가짜를 구별하기가 매우 어려운 상태였던 것으로 나타났습니다.

이렇게 배포된 악성코드가 실행되면 공격자는 감염된 컴퓨터의 화면을 들여다보거나 원격으로 조종할 수 있고, 이용자의 가상화폐 지갑과 각종 계정의 로그인 정보까지 빼돌릴 수 있는 것으로 보안연구소는 분석했습니다. 개발 환경을 겨냥한 만큼 피해가 광범위하게 번질 수 있다는 우려가 나옵니다.

J프로그 보안연구소는 이번 공격에서 확인된 수법이 북한 정찰총국 소속으로 알려진 해킹 조직 나자루스의 활동 양상과 일치한다고 밝혔습니다. 나자루스는 그동안 가상화폐 탈취와 금융 관련 사이버 공격을 반복해 온 것으로 지목돼 온 조직이어서, 이번 사례 역시 그 연장선에 있다는 분석입니다.

Loading article...