본문으로 건너뛰기
J
피드

검색 상위 오픈소스 다운로드 사이트도 못 믿는다, 사칭 사이트 100개 이상 적발

security 약 6분
tags
#malware#seo#supply-chain#infostealer#cryptocurrency
vote
0
댓글
북마크

체크포인트리서치가 인기 오픈소스와 무료 소프트웨어를 사칭한 대규모 악성코드 유포 생태계를 발견했다. 공격자는 검색 상위에 노출되는 가짜 다운로드 사이트를 만들고, 사용자의 환경에 따라 정상 파일이나 악성코드 배포 경로로 다르게 보내는 방식을 썼다.

  • 1

    Ghidra, dnSpy, ILSpy 등 개발자와 보안 연구자가 쓰는 도구를 사칭한 사이트가 발견됨

  • 2

    100개 이상의 사이트가 같은 방식으로 운영되는 것으로 확인됨

  • 3

    트래픽분배시스템이 국가, IP, 브라우저, 방문 이력 등을 보고 사용자별로 다른 다운로드 경로를 제공

  • 4

    리무스스틸러는 비밀번호, 쿠키, 세션, 암호화폐 지갑, 다중 인증 앱 정보를 노림

  • 5

    애니메이트클리퍼는 복사한 가상자산 지갑 주소를 공격자 주소로 바꿔치기함

  • 검색 결과 상단에 뜬 다운로드 사이트가 공식 사이트처럼 보여도 이제는 안심하기 어렵다는 사례가 나옴

    • 체크포인트리서치가 인기 오픈소스와 무료 소프트웨어를 사칭한 대규모 악성코드 유포망을 발견함
    • 공격 대상에는 Ghidra, dnSpy, ILSpy처럼 보안 연구자와 개발자가 자주 쓰는 도구도 포함됨
    • 일부 가짜 사이트는 검색 결과 상위권에 노출돼서 공식 웹사이트로 착각하기 쉬운 상태였음

  • 이번 공격은 그냥 허접한 피싱 페이지 하나 만든 수준이 아님

    • 실제 프로젝트 소개 페이지와 거의 구분하기 어려울 정도로 정교한 사이트를 만들었음
    • 다운로드 버튼도 정상 프로그램 링크처럼 보이게 구성함
    • 체크포인트리서치는 같은 방식으로 운영되는 사이트를 100개 이상 확인했다고 밝힘

⚠️주의

> 검색 결과 상위 노출은 신뢰 신호가 아님. 개발 도구나 보안 도구는 공식 저장소, 개발사 공식 채널, 검증된 패키지 저장소에서 받는 습관이 필요함.

  • 핵심 장치는 트래픽분배시스템(TDS)임
    • 사용자가 다운로드를 누르면 TDS가 접속 국가, IP 주소, 브라우저 종류, 방문 이력 같은 정보를 분석함
    • 그 결과에 따라 어떤 사용자는 정상 프로그램을 받고, 어떤 사용자는 잠재적으로 원치 않는 애플리케이션(PUA) 설치 페이지나 악성코드 서버로 이동함
    • 같은 사이트를 다시 방문해도 환경에 따라 결과가 달라질 수 있어서 보안 분석가가 재현하기도 까다로움
sequenceDiagram
    participant 사용자
    participant 가짜사이트
    participant 분배시스템
    participant 정상다운로드
    participant 악성서버
    사용자->>가짜사이트: 검색 결과에서 접속
    사용자->>가짜사이트: 다운로드 버튼 클릭
    가짜사이트->>분배시스템: 접속 정보 전달
    분배시스템->>분배시스템: 국가, IP, 브라우저, 이력 판별
    분배시스템-->>정상다운로드: 일부 사용자는 정상 파일로 이동
    분배시스템-->>악성서버: 조건에 맞는 사용자는 악성코드 경로로 이동

  • 유포된 악성코드도 꽤 현실적으로 아픔

    • 세션게이트는 특정 악성코드 하나라기보다, 여러 악성 프로그램을 선택적으로 배포하는 다단계 전달 프레임워크에 가까움
    • 사용자 시스템 환경과 보안 프로그램 설치 여부를 확인한 뒤 조건이 맞을 때만 다음 단계로 진행하도록 설계됨
    • 분석과 추적을 어렵게 만들기 위한 검증 절차도 들어가 있음

  • 대표적으로 확인된 악성코드는 리무스스틸러와 애니메이트클리퍼임

    • 리무스스틸러는 브라우저 저장 비밀번호, 쿠키, 자동완성 정보, 로그인 세션을 수집함
    • 암호화폐 지갑, 비밀번호 관리자, 다중 인증(MFA) 애플리케이션 정보까지 노리는 것으로 조사됨
    • 애니메이트클리퍼는 비트코인, 이더리움, 솔라나 같은 가상자산 지갑 주소를 클립보드에서 바꿔치기함

중요

> 이 공격의 무서운 점은 “악성 사이트에 접속하면 항상 악성 파일이 내려온다”가 아니라는 것임. 조건에 따라 정상 파일도 내려주기 때문에 탐지와 재현이 더 어려워짐.

  • 개발자 입장에서 당장 바꿔야 할 습관이 있음
    • 도구 이름을 검색해서 첫 번째 결과를 누르는 방식은 위험함
    • 프로젝트 공식 저장소, 개발사 공식 채널, 패키지 관리자, 해시 검증 같은 기본 절차를 우선해야 함
    • 특히 리버싱, 디버깅, 보안 분석 도구처럼 공격자도 노릴 만한 도구는 더 조심해야 함

기술 맥락

  • 이번 공격에서 중요한 선택은 공격자가 단순 피싱 페이지가 아니라 TDS를 끼운 다단계 유포 구조를 썼다는 점이에요. 이렇게 하면 모든 방문자에게 똑같은 악성 파일을 주지 않아도 되니까, 보안 업체나 연구자가 같은 URL을 열어도 정상처럼 보일 수 있거든요.

  • TDS가 국가, IP, 브라우저, 방문 이력 같은 조건을 보는 이유는 피해자와 분석 환경을 가르기 위해서예요. 예를 들어 보안 연구자의 샌드박스나 반복 접속 패턴은 걸러내고, 실제 사용자처럼 보이는 접속에만 다음 단계를 열 수 있어요.

  • 세션게이트 같은 전달 프레임워크가 무서운 이유는 악성코드를 바꿔 끼우기 쉽기 때문이에요. 오늘은 정보 탈취 악성코드를 뿌리고, 내일은 가상자산 주소 바꿔치기 악성코드를 뿌리는 식으로 같은 유포망을 계속 재활용할 수 있거든요.

  • 개발자에게 이 이슈가 직접적인 이유는 공격자가 개발 도구와 보안 도구를 미끼로 삼았기 때문이에요. Ghidra, dnSpy, ILSpy 같은 도구는 급하게 검색해서 받는 경우가 많은데, 바로 그 습관이 공격 경로가 된 셈이에요.

이건 개발자에게 꽤 실전적인 경고임. 검색 결과 1위가 곧 공식 사이트라는 습관이 공급망 공격의 입구가 될 수 있고, 특히 보안 분석 도구나 개발 도구를 급하게 받을 때 더 위험함.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

펜타시큐리티, 얼굴·번호판 자동으로 가리는 비식별화 API 출시

펜타시큐리티가 이미지·영상 속 민감정보를 AI로 탐지해 가려주는 클라우드브릭 마스크 API를 출시함. 커뮤니티나 게시판처럼 유저 업로드 이미지가 많은 서비스에서 얼굴, 차량 번호판 등을 업로드 단계에서 블러 처리해 개인정보 노출 리스크를 줄이는 게 핵심임.

security

보안 로그가 터져나가는데 사람은 부족하다, 에이아이 기반 시엠 전환이 급해진 이유

보안 정보 및 이벤트 관리 도구가 단순 로그 저장소에서 실시간 탐지, 행위 분석, 자동 대응을 묶는 보안 운영 플랫폼으로 바뀌고 있어. 프로스트앤설리번은 현대 시엠 시장이 2024년부터 2029년까지 연평균 13.7퍼센트 성장할 것으로 봤고, 클라우드 네이티브·서비스형 시엠 전환을 핵심 흐름으로 짚었어.

security

F5, 47일 TLS 인증서 시대에 맞춰 인증서 자동화로 멀티클라우드 보안 밀어붙인다

Encryption Consulting이 F5와의 파트너십을 통해 F5 BIG-IP 환경에 자동화된 인증서 수명 주기 관리를 제공한다고 발표했다. 업계가 47일 TLS 인증서 수명으로 이동하는 흐름에서, 수동 갱신과 배포를 줄이는 게 핵심이다. 다만 기사 자체는 기술 발표와 함께 F5의 투자 내러티브를 다루는 성격이라 실무 기술 분석은 제한적이다.

security

티빙 해킹, 개인정보 유출보다 더 큰 문제는 AWS 액세스 키 노출이었다

티빙 해킹 사고가 단순 DB 유출이 아니라 AWS 클라우드 자격증명 관리 실패로 번지는 분위기다. GitHub에 노출된 자격증명, 하드코딩된 액세스 키, 21시간 늦은 이상 징후 인지, 24시간 신고 시한 1분 전 신고까지 보안 운영 전반이 도마 위에 올랐다.

security

EU의 클라우드·AI 주권 법안, 미국 빅테크 의존을 보안 리스크로 보기 시작했다

EU 집행위원회가 클라우드·AI 개발법과 반도체법 2.0을 제안하며 미국 빅테크 의존도를 줄이겠다는 방향을 분명히 했다. 금융, 에너지, 보건 같은 민감 분야에서는 유럽산 하드웨어와 소프트웨어, 역내 통제 조건을 강하게 요구할 전망이다. 미국 클라우드법과 킬 스위치 우려가 배경에 깔려 있어, 단순 산업 보호가 아니라 디지털 주권과 공급망 보안 이슈로 봐야 한다.