북한 해커 조직, 악성 npm 패키지 11개 추가 배포… 한국 개발자 공격

[시큐리티팩트=최석윤 기자] 북한 해킹 조직이 '전염성 인터뷰(Contagious Interview)'라는 이름의 사이버 공격 캠페인을 통해 소프트웨어 개발자들이 주로 사용하는 패키지 관리 시스템인 npm(Node Package Manager) 생태계를 더욱 깊숙이 파고들고 있다고 해커뉴스가 보도했다.

이들은 '비버테일(BeaverTail)'이라는 악성코드를 유포하기 위해 11개의 새로운 악성 패키지를 npm에 등록했으며, 새로운 형태의 원격 제어 악성코드(RAT)를 다운로드하는 프로그램까지 활용해 한국 개발자를 공격하고 있는 것으로 드러났다.

소켓 보안 연구원인 키릴 보이첸코(Kirill Boychenko)는 보고서를 통해 "이번에 발견된 악성 패키지들은 자동화된 악성코드 탐지 시스템과 보안 전문가의 수동 코드 분석을 피하기 위해 16진수 문자열 인코딩이라는 새로운 난독화(코드를 알아보기 어렵게 만드는 기술) 방식을 사용하고 있다는 점에서 이전 공격 방식과 차이를 보인다"고 분석했다.

보안 전문가들에 의해 발견되어 npm 저장소에서 삭제되기 전까지, 이 11개의 악성 패키지는 총 5600회 이상 다운로드된 것으로 집계됐다. 문제의 패키지 목록은 다음과 같다.

• 빈 배열 유효성 검사기(empty-array-validator)

• 트위터API(twitterapi)

• 개발 도구 디버거(dev-debugger-vite)

• 코골이 로그(kloggy)

• 코어 피노(core-pino)

• 이벤트 유틸리티(events-utils)

• 아이클라우드 대구(icloud-cod)

• 명령줄 로거(cln-logger)

• 노드 오류 방지(node-blocker)

• 통합 로그(consolidate-log)

• 통합 로거(consolidate-logger)

이번 악성 패키지 발견은 북한 해커들이 '인비저블페럿(InvisibleFerret)'이라는 파이썬 기반 백도어(Backdoor, 정상적인 인증 절차를 거치지 않고 시스템에 몰래 접근할 수 있도록 만들어진 통로)를 유포할 수 있는 자바스크립트 기반 정보 탈취 악성코드인 '비버테일'을 배포하는 6개의 npm 패키지 세트가 발견된 지 불과 한 달 만에 이루어진 것이다.

'가짜 면접' 미끼로 개발자 시스템 침투 시도

사이버 보안 전문가들은 이 캠페인의 최종 목표가 개발자들을 '가짜 면접'으로 속여 이들의 컴퓨터 시스템에 침투한 후, 민감한 데이터를 훔치고, 금융 자산을 빼돌리며, 장기간에 걸쳐 감염된 시스템에 몰래 접근할 수 있는 권한을 확보하는 것이라고 분석하고 있다.

새롭게 발견된 npm 라이브러리들은 겉으로는 일반적인 유틸리티 도구나 디버깅 도구로 위장하고 있다. 특히 'dev-debugger-vite'라는 패키지 중 하나는 2024년 12월에 '팬텀 서킷(Phantom Circuit)'이라는 이름으로 알려진 캠페인에서 북한의 유명 해킹 조직인 '라자루스 그룹(Lazarus Group)'이 사용했던 명령 및 제어(C2) 서버 주소를 활용하고 있다는 사실이 보안 연구기관 SecurityScorecard에 의해 밝혀졌다.

흥미로운 점은 'events-utils'와 'icloud-cod'와 같은 일부 패키지들이 깃허브(GitHub)가 아닌 빗버킷(Bitbucket) 저장소에 연결되어 있다는 것이다. 또한 'icloud-cod' 패키지는 'eiwork_hire'라는 디렉토리 내에서 호스팅되고 있는 것으로 확인되었는데, 이는 공격자들이 악성코드 감염을 유도하기 위해 '채용' 또는 '면접'과 관련된 주제를 지속적으로 활용하고 있음을 보여준다.

'cln-logger', 'node-clog', 'consolidate-log', 'consolidate-logger' 패키지를 자세히 분석한 결과, 코드 수준에서 약간의 변형이 발견됐다. 이는 공격자들이 캠페인의 성공률을 높이기 위해 여러 종류의 악성코드를 동시에 배포하고 있다는 것을 시사한다.

원격 제어 악성코드 로더로 작동

이러한 변화에도 불구하고, 새롭게 발견된 4개의 악성 패키지에 포함된 악성 코드는 원격 서버로부터 다음 단계의 악성 프로그램을 다운로드하여 실행할 수 있는 원격 제어 악성코드(RAT) 로더로 작동하는 것으로 분석됐다.

보이첸코 연구원은 해커 뉴스(The Hacker News)와의 인터뷰에서 "이 로더를 통해 최종적으로 어떤 종류의 악성코드가 배포되는지는 현재로서는 정확히 알 수 없다. 이는 명령 및 제어(C2) 서버가 더 이상 악성 프로그램을 제공하지 않기 때문"이라고 설명했다.

그는 "이 코드는 원격에서 시스템을 제어할 수 있는 기능(RAT)을 가진 활성 악성코드 로더로 작동한다"며, "이 시스템은 'eval()'이라는 자바스크립트 기능을 통해 원격에 있는 악성 자바스크립트 코드를 동적으로 가져와 실행함으로써 북한 공격자들이 감염된 시스템에서 원하는 대로 악성 코드를 실행할 수 있도록 한다. 이러한 행위는 추가적인 악성 프로그램 배포로 이어질 수 있기 때문에, 이 로더 자체만으로도 심각한 위협이 된다"고 경고했다.

이번 연구 결과는 북한 해커들이 소프트웨어 공급망을 지속적으로 위협하고 있을 뿐만 아니라, 악성코드를 유포하기 위해 악명 높은 '클릭픽스(ClickFix)'라는 사회 공학적 기법(사람들의 심리를 이용하여 원하는 행동을 유도하는 공격 방식)과 유사한 전술을 활용하는 '전염성 인터뷰' 캠페인의 지속적인 특징을 보여준다.

보이첸코 연구원은 " '전염성 인터뷰' 캠페인을 벌이는 위협 행위자들은 새로운 npm 계정을 계속해서 생성하고, npm 저장소, 깃허브, 빗버킷과 같은 플랫폼에 악성 코드를 배포하는 끈질긴 모습을 보이고 있으며, 이러한 활동이 멈출 기미를 보이지 않고 있다"고 지적했다.

또한 "이러한 고도의 지속적인 위협(APT) 그룹은 새로운 공격 그룹 이름(별칭)으로 새로운 악성코드를 게시하고, 깃허브 및 빗버킷 저장소에서 악성 프로그램을 호스팅하며, 새롭게 발견된 원격 제어 악성코드(RAT) 로더 변종과 함께 '비버테일' 및 '인비저블페럿'과 같은 핵심 악성코드를 재사용하는 등 공격 전술을 다양화하고 있다"고 덧붙였다.

'비버테일', '트로피도어' 백도어까지 은밀히 설치

한편, 이번 새로운 npm 패키지 발견은 한국의 사이버 보안 전문 기업인 안랩(AhnLab)이 이전에 알려지지 않았던 윈도우 운영체제용 백도어인 '트로피도어(Tropidoor)'를 배포하는 데 사용되는 '비버테일' 악성코드를 활용한 채용 관련 피싱 캠페인을 상세히 분석한 보고서가 발표된 직후에 이루어졌다. 안랩의 분석 결과에 따르면, '비버테일'은 특히 한국의 소프트웨어 개발자들을 적극적으로 공격하는 데 사용되고 있는 것으로 나타났다.

'오토스퀘어(AutoSquare)'라는 회사를 사칭하여 발송된 이메일 메시지에는 빗버킷에 호스팅된 프로젝트 링크가 포함되어 있으며, 수신자에게 해당 프로그램에 대한 이해도를 검토하기 위해 자신의 컴퓨터에 해당 프로젝트를 복제(다운로드)하도록 유도했다.

하지만 이 '응용 프로그램'은 'tailwind.config.js'라는 이름으로 위장한 '비버테일' 악성코드와 'car.dll'이라는 이름의 DLL(Dynamic Link Library, 프로그램 실행에 필요한 파일) 다운로더 악성코드를 포함하는 npm 라이브러리일 뿐이었으며, 후자는 자바스크립트 기반 정보 탈취 악성코드 및 로더에 의해 실행되는 구조였다.

'트로피도어'는 ‘다운로더를 통해 메모리 상에서 작동하는’ 백도어로서, 공격자의 명령 및 제어(C2) 서버에 연결하여 파일 유출, 드라이브 및 파일 정보 수집, 프로세스 실행 및 종료, 화면 캡처, 그리고 NULL 값 또는 무작위 데이터를 덮어쓰는 방식으로 파일을 삭제하거나 파괴하는 등의 악의적인 작업을 수행할 수 있는 기능을 가지고 있다.

이 악성코드의 중요한 특징 중 하나는 'schtasks', 'ping', 'reg'와 같은 윈도우 명령어를 직접 구현했다는 점인데, 이는 이전에 '블라인딩캔(BLINDINGCAN)'(일명 'AIRDRY', 'ZetaNile')의 후속 버전으로 알려진 '라이트리스캔(LightlessCan)'이라는 또 다른 라자루스 그룹의 악성코드에서도 관찰된 기능이다.

이에 대해 안랩은 "사용자들은 이메일 첨부 파일뿐만 아니라 출처를 알 수 없는 실행 파일에 대해서도 각별한 주의를 기울여야 한다"고 강조했다. 북한 해커 조직의 이처럼 지능적이고 끈질긴 사이버 공격 시도는 소프트웨어 개발자들을 포함한 모든 인터넷 사용자들에게 보안 의식을 높이고, 의심스러운 링크나 파일을 함부로 클릭하거나 실행하지 않도록 주의를 기울여야 할 필요성을 다시 한번 강조하고 있다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기