라자루스 그룹, 개발자 대상 ‘Contagious Interview’ 캠페인에 JSON 저장소 악용한 악성코드 유포
북한 연계 해킹 그룹, 라자루스 (Lazarus) 그룹의 악성코드 유포 방식 진화
악명 높은 북한의 국가 지원 해킹 그룹인 라자루스 그룹이 JSON 저장 서비스를 이용하여 악성코드를 호스팅하는 새로운 공격 방식이 포착되었습니다. 사이버 보안 연구원 NVISIO는 공격자들이 JSON Keeper, JSONsilo 및 npoint.io와 같은 합법적인 JSON 저장소를 악용하여 공격을 은밀하게 지속적으로 수행하려는 시도를 발견했습니다. 이는 'Contagious Interview' 캠페인의 일환으로 분석됩니다.
가짜 채용 제안으로 개발자 유인, BeaverTail, InvisibleFerret, TsunamiKit 악성코드 감염
공격자들은 링크드인에 가짜 프로필을 생성하고 소프트웨어 개발자에게 매력적인 채용 제안을 하거나 코딩 프로젝트에 대한 도움을 요청하는 방식으로 접근했습니다. 이후 데모 프로젝트를 GitHub, GitLab 또는 Bitbucket에서 다운로드하도록 유도하여 악성코드를 감염시키는 수법을 사용했습니다.
정보 탈취, 암호화폐 탈취, Monero 채굴… 정상 개발 워크플로우에 은밀히 침투
NVISIO는 한 프로젝트에서 Base64로 인코딩된 값을 발견했는데, API 키처럼 보이지만 실제로는 JSON 저장 서비스 URL이었습니다. 해당 저장소에는 BeaverTail (정보 탈취 악성코드), InvisibleFerret (Python 백도어), 그리고 TsunamiKit이 발견되었습니다. TsunamiKit은 Python과 .NET으로 작성된 다단계 악성코드 툴킷으로, 정보 탈취 또는 암호화폐 채굴 (XMRig 설치 후 Monero 채굴) 기능을 수행할 수 있습니다.
광범위한 공격 시도, 민감 정보 및 암호화폐 지갑 정보 탈취
일부 연구자들은 BeaverTrail이 Tropidoor와 AkdoorTea를 추가로 배포하는 것을 확인했습니다. NVISIO 연구진은 "Contagious Interview 캠페인의 배후 공격자들은 뒤쳐지지 않고, 흥미로운 소프트웨어 개발자를 타겟으로 광범위한 공격을 시도하여 민감한 데이터와 암호화폐 지갑 정보를 탈취하려 한다"고 경고했습니다.
합법적인 웹사이트 및 코드 저장소 악용, 정상 트래픽에 위장
공격자들이 JSON Keeper, JSON Silo, npoint.io와 같은 합법적인 웹사이트와 GitLab, GitHub와 같은 코드 저장소를 사용한다는 점은 은밀하게 활동하며 정상적인 트래픽에 위장하려는 의도를 보여줍니다.
맺음말
라자루스 그룹의 이번 공격은 합법적인 서비스를 악용하여 탐지를 회피하고 은밀하게 침투하는 고도화된 수법을 보여줍니다. 개발자들은 출처가 불분명한 링크나 파일 다운로드에 각별히 주의하고, 보안 솔루션을 최신 상태로 유지하여 피해를 예방해야 합니다. 또한 기업은 개발 환경 보안 강화와 더불어 직원 보안 교육을 통해 유사 공격에 대비해야 할 것입니다.
