카스퍼스키 로고

<이미지를 클릭하시면 크게 보실 수 있습니다>

카스퍼스키가 깃허브(GitHub)에서 다단계 멀웨어(악성코드) ‘GitVenom(깃베놈)’을 발견했다고 28일 밝혔다. 이 악성코드는 개인 데이터 및 48만5000달러 상당의 비트코인을 탈취하는 데 사용됐으며, 깃허브에 업로드된 가짜 프로젝트를 통해 확산된 것으로 분석됐다.

카스퍼스키 글로벌 연구 및 분석팀(GReAT)은 인스타그램 계정 자동화 도구, 비트코인(BTC) 지갑 관리 텔레그램(Telegram) 봇, 게임 발로란트(Valorant) 크랙(crack) 도구 등 여러 감염된 프로젝트를 확인했다. 그러나 해당 프로젝트들은 모두 가짜였으며, 공격자는 클립보드(clipboard)에서 암호화폐 지갑 주소를 가로채거나 금융 데이터를 탈취하는 방식으로 피해를 입혔다. 조사 결과, 공격자들은 비트코인 5개를 탈취한 것으로 나타났다. 감염된 저장소는 전 세계적으로 사용됐으며, 특히 브라질, 터키, 러시아에서 피해 사례가 많았다.

깃허브에 업로드된 악성 저장소는 AI로 생성된 것으로 보이는 프로젝트 설명을 사용해 신뢰도를 높이는 방식으로 퍼졌다. 피해자가 해당 저장소의 코드를 실행하면 악성코드에 감염돼 공격자가 원격으로 장치를 제어할 수 있게 된다.

이 악성코드는 파이썬, 자바스크립트, C, C++, C# 등 다양한 프로그래밍 언어로 작성됐다. 감염된 프로젝트는 깃허브 저장소에서 악성 구성 요소를 다운로드하고 실행하며, 피해자의 비밀번호, 은행 계좌 정보, 저장된 자격 증명, 암호화폐 지갑 데이터 및 검색 기록을 수집하는 기능을 포함하고 있다. 탈취된 데이터는 .7z 아카이브로 압축된 후 텔레그램을 통해 공격자에게 전송된다.

또한, 다운로드된 악성 코드에는 클립보드 하이재커(Clipboard Hijacker) 기능이 포함돼 있어 피해자가 암호화폐 지갑 주소를 복사하면 공격자가 제어하는 주소로 자동 변경된다. 실제로 공격자가 사용하는 비트코인 지갑에는 2024년 11월 기준 약 5 BTC가 입금된 것으로 확인됐다.

이효은 카스퍼스키 한국지사장은 “깃베놈 캠페인은 깃허브를 악용해 정교한 다단계 악성코드를 배포하는 사이버 범죄자들의 전략이 점점 더 고도화되고 있음을 보여준다”며 “개발자, 게이머, 암호화폐 투자자들은 서드파티 코드 실행 전 철저한 검증을 거쳐야 하며, 조직 차원에서도 강력한 보안 제어를 도입해 무단 코드 실행을 감지하고 차단해야 한다”고 말했다.

게오르기 쿠체린 카스퍼스키 GReAT 보안 연구원은 “깃허브와 같은 코드 공유 플랫폼은 전 세계 수백만 명의 개발자가 사용하기 때문에, 앞으로도 위협 행위자들이 가짜 소프트웨어를 이용한 감염 시도를 지속할 가능성이 높다”며 “서드파티 코드 실행 전 반드시 해당 코드가 수행하는 작업을 철저히 분석해 가짜 프로젝트를 판별하고 악성 코드가 개발 환경을 침해하는 것을 예방해야 한다”고 조언했다.

이경탁 기자(kt87@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>