본문으로 건너뛰기
피드

북한 ‘폴린라이더’, 개발자 면접 미끼로 악성 패키지 108개 유포

security 약 5분
vote
0
댓글
북마크

북한 연계 해커들이 ‘폴린라이더’ 캠페인으로 개발자와 암호화폐 업계 종사자를 겨냥해 악성 패키지와 브라우저 확장 프로그램을 유포했다. 가짜 구직 제안과 화상 면접을 미끼로 삼고, 코딩 테스트 명목으로 패키지 설치를 유도한 점이 핵심이다.

  • 1

    악성 배포물 162개가 확인됐고, 고유 패키지와 확장 프로그램은 108개로 집계됨

  • 2

    npm 19개, 컴포저 패키지 10개, 고 모듈, 크롬 확장 프로그램 등이 포함됨

  • 3

    가짜 채용 담당자와 화상 면접을 이용해 개발자 단말에서 악성 스크립트를 실행하게 만듦

  • 4

    브라우저 쿠키, 암호화폐 지갑 정보, 내부 접근 권한 탈취가 주요 목적임

  • 북한 연계 해커들이 개발자와 암호화폐 업계 종사자를 겨냥해 악성 패키지 108개를 유포한 정황이 나옴

    • 소켓의 최신 위협 분석 보고서에 나온 내용이고, 캠페인 이름은 ‘폴린라이더’임
    • 전체 악성 배포물은 162개, 그중 고유 패키지와 확장 프로그램이 108개로 집계됨
  • 공격의 입구는 서버 취약점이 아니라 ‘가짜 채용 프로세스’였음

    • 공격자는 구인구직 SNS나 프리랜서 플랫폼에서 IT 기업 인사 담당자처럼 접근함
    • 화상 회의로 실제 기술 면접처럼 대화를 이어가며 신뢰를 쌓음
    • 이후 코딩 테스트나 실무 역량 평가를 핑계로 특정 오픈소스 패키지 설치와 실행을 유도함

⚠️주의

> “코딩 테스트라서 설치해 주세요”가 이제 보안 이벤트가 됨. 개인 장비에서 바로 실행하면 브라우저 쿠키, 지갑, 내부 접근 권한이 한 번에 털릴 수 있음.

  • 악성 패키지를 설치하는 순간 백그라운드에서 스크립트가 실행되는 구조임

    • 브라우저 쿠키, 암호화폐 지갑 정보, 시스템 내부 접근 권한이 공격자에게 넘어갈 수 있음
    • 특히 개발자 단말은 소스 저장소, 클라우드 콘솔, 사내 도구 접근 권한이 얽혀 있어서 공격 가치가 큼
  • 공격 범위도 꽤 넓음

    • npm 라이브러리 19개가 포함됨
    • 컴포저 패키지 10개도 확인됨
    • 고 모듈과 구글 크롬 확장 프로그램 1개까지 포함돼, 특정 언어 하나만 노린 공격이 아니었음
  • 더 큰 문제는 오픈소스 저장소 자체를 오염시키는 방향으로 진화하고 있다는 점임

    • 공격자는 단순히 새 악성 패키지를 올리는 데서 그치지 않고, 오픈소스 메인테이너 계정 탈취까지 노림
    • 합법적인 저장소가 수정되면 사용자는 평소 쓰던 패키지를 업데이트했을 뿐인데 감염될 수 있음
    • 내부 방어망을 직접 뚫기보다, 외부 패키지와 개발자 단말을 통해 우회하는 방식임
  • 소켓 연구원은 이 캠페인이 현재진행형이라고 경고함

    • 공격자가 레지스트리 접근 권한을 유지하거나 새로 얻는 한, 감염된 패키지 버전이 계속 올라올 수 있다는 설명임
    • 즉 한 번 목록에서 지웠다고 끝나는 문제가 아니라, 계정 권한과 배포 경로를 계속 봐야 하는 이슈임
  • 실무적으로는 채용 과제와 외부 코드 실행을 분리해야 함

    • 개인 맥북이나 회사 업무 장비에서 바로 실행하는 관행은 위험도가 너무 커짐
    • 일회용 컨테이너, 격리된 가상 머신, 네트워크 제한, 토큰 없는 환경에서만 테스트 코드를 돌리는 식의 절차가 필요함

기술 맥락

  • 이 캠페인이 까다로운 이유는 개발자가 스스로 코드를 실행하게 만든다는 점이에요. 방화벽을 뚫고 들어오는 게 아니라, 면접이나 과제라는 정상 업무 흐름 안에서 패키지 설치를 유도하거든요.

  • npm, 컴포저, 고 모듈, 크롬 확장 프로그램까지 건드린 건 공격자가 특정 언어보다 개발자 권한 자체를 노렸기 때문이에요. 어떤 생태계든 개발자 단말에 접근하면 저장소 토큰, 클라우드 세션, 지갑 정보 같은 값이 나올 수 있어요.

  • 메인테이너 계정 탈취가 특히 위험한 이유는 신뢰 모델을 뒤집기 때문이에요. 새로 생긴 수상한 패키지가 아니라, 원래 쓰던 저장소의 새 버전이 오염될 수 있으니 기존 화이트리스트만으로는 부족해져요.

  • 그래서 대응도 보안팀만의 일이 아니에요. 채용 과제 운영 방식, 개발 장비 정책, 패키지 배포 권한, 브라우저 확장 프로그램 승인 절차가 같이 바뀌어야 실제 감염 경로를 줄일 수 있어요.

채용 프로세스가 공격 벡터가 된 게 제일 찝찝한 지점임. 개발자 입장에서는 코딩 테스트용 패키지 설치가 자연스러운 행동이라, 보안 교육만으로 막기 어렵고 실행 환경 격리가 필요해짐.

댓글

댓글

댓글을 불러오는 중...

security

보안 스타트업들, 투자와 글로벌 클라우드 인증 부담을 같이 꺼내놓음

한국정보보호산업협회가 정보보호 스타트업 협의체 회의를 열고 보안 스타트업 투자 활성화와 글로벌 클라우드 컴플라이언스 대응을 논의했다. 참석자들은 SaaS 도입 확대, PoC 기회, 인증 비용과 절차 부담 완화가 필요하다고 봤다.

security

블랙덕, 오픈소스 리스크 웨비나서 ‘코드베이스당 취약점 581건’ 다룬다

블랙덕과 KMS테크놀로지가 7월 9일 오픈소스 보안 리스크와 대응 전략을 다루는 웨비나를 연다. 블랙덕의 2026 OSSRA 리포트에 따르면 코드베이스당 취약점은 평균 581건으로 전년 대비 107% 늘었고, 좀비 컴포넌트를 포함한 코드베이스는 93%에 달했다.

security

북한 해커, npm 유명 패키지 베껴 개발자 PC부터 뚫었다

북한 연계로 추정되는 공격자가 npm에서 유명 자바스크립트 패키지를 흉내 낸 악성 패키지 6종을 유포한 정황이 나왔다. 패키지 설명과 홈페이지까지 원본처럼 꾸미고, 샌드박스 회피와 다단계 다운로드로 정적 분석을 피한 게 핵심이다.

security

에버스핀·티냅스, AI 레드팀으로 신뢰 보안 시장 노린다

에버스핀과 티냅스가 AI 신뢰 보안 분야에서 전략적 협력을 맺었다. 생성형 AI와 AI 에이전트 확산으로 프롬프트 주입, 탈옥, 데이터 유출, 권한 오남용 같은 위협이 커지면서 AI 시스템을 설계부터 운영까지 검증하는 시장을 공략하겠다는 내용이다.

security

EU 이사회, ‘채팅 감시’ 규정을 여름휴가 직전에 패스트트랙으로 밀어붙임

EU 이사회가 만료된 ‘채팅 감시 1.0’ 예외 규정을 사실상 되살리는 새 규정을 긴급 절차로 추진하고 있어. 메신저, 웹메일, 인터넷전화 같은 서비스가 아동 성착취물 탐지를 명분으로 사적 통신을 자발적으로 스캔할 수 있게 하는 내용이야. 비판 쪽은 암호화 통신의 비밀을 흔드는 조치를 의회 통제를 우회해 통과시키려는 전술로 보고 있어.