---
title: "북한 ‘폴린라이더’, 개발자 면접 미끼로 악성 패키지 108개 유포"
published: 2026-07-06T08:05:02.794Z
canonical: https://jeff.news/article/4693
---
# 북한 ‘폴린라이더’, 개발자 면접 미끼로 악성 패키지 108개 유포

북한 연계 해커들이 ‘폴린라이더’ 캠페인으로 개발자와 암호화폐 업계 종사자를 겨냥해 악성 패키지와 브라우저 확장 프로그램을 유포했다. 가짜 구직 제안과 화상 면접을 미끼로 삼고, 코딩 테스트 명목으로 패키지 설치를 유도한 점이 핵심이다.

- 북한 연계 해커들이 개발자와 암호화폐 업계 종사자를 겨냥해 악성 패키지 108개를 유포한 정황이 나옴
  - 소켓의 최신 위협 분석 보고서에 나온 내용이고, 캠페인 이름은 ‘폴린라이더’임
  - 전체 악성 배포물은 162개, 그중 고유 패키지와 확장 프로그램이 108개로 집계됨

- 공격의 입구는 서버 취약점이 아니라 ‘가짜 채용 프로세스’였음
  - 공격자는 구인구직 SNS나 프리랜서 플랫폼에서 IT 기업 인사 담당자처럼 접근함
  - 화상 회의로 실제 기술 면접처럼 대화를 이어가며 신뢰를 쌓음
  - 이후 코딩 테스트나 실무 역량 평가를 핑계로 특정 오픈소스 패키지 설치와 실행을 유도함

> [!WARNING]
> “코딩 테스트라서 설치해 주세요”가 이제 보안 이벤트가 됨. 개인 장비에서 바로 실행하면 브라우저 쿠키, 지갑, 내부 접근 권한이 한 번에 털릴 수 있음.

- 악성 패키지를 설치하는 순간 백그라운드에서 스크립트가 실행되는 구조임
  - 브라우저 쿠키, 암호화폐 지갑 정보, 시스템 내부 접근 권한이 공격자에게 넘어갈 수 있음
  - 특히 개발자 단말은 소스 저장소, 클라우드 콘솔, 사내 도구 접근 권한이 얽혀 있어서 공격 가치가 큼

- 공격 범위도 꽤 넓음
  - npm 라이브러리 19개가 포함됨
  - 컴포저 패키지 10개도 확인됨
  - 고 모듈과 구글 크롬 확장 프로그램 1개까지 포함돼, 특정 언어 하나만 노린 공격이 아니었음

- 더 큰 문제는 오픈소스 저장소 자체를 오염시키는 방향으로 진화하고 있다는 점임
  - 공격자는 단순히 새 악성 패키지를 올리는 데서 그치지 않고, 오픈소스 메인테이너 계정 탈취까지 노림
  - 합법적인 저장소가 수정되면 사용자는 평소 쓰던 패키지를 업데이트했을 뿐인데 감염될 수 있음
  - 내부 방어망을 직접 뚫기보다, 외부 패키지와 개발자 단말을 통해 우회하는 방식임

- 소켓 연구원은 이 캠페인이 현재진행형이라고 경고함
  - 공격자가 레지스트리 접근 권한을 유지하거나 새로 얻는 한, 감염된 패키지 버전이 계속 올라올 수 있다는 설명임
  - 즉 한 번 목록에서 지웠다고 끝나는 문제가 아니라, 계정 권한과 배포 경로를 계속 봐야 하는 이슈임

- 실무적으로는 채용 과제와 외부 코드 실행을 분리해야 함
  - 개인 맥북이나 회사 업무 장비에서 바로 실행하는 관행은 위험도가 너무 커짐
  - 일회용 컨테이너, 격리된 가상 머신, 네트워크 제한, 토큰 없는 환경에서만 테스트 코드를 돌리는 식의 절차가 필요함

---
## 기술 맥락

- 이 캠페인이 까다로운 이유는 개발자가 스스로 코드를 실행하게 만든다는 점이에요. 방화벽을 뚫고 들어오는 게 아니라, 면접이나 과제라는 정상 업무 흐름 안에서 패키지 설치를 유도하거든요.

- npm, 컴포저, 고 모듈, 크롬 확장 프로그램까지 건드린 건 공격자가 특정 언어보다 개발자 권한 자체를 노렸기 때문이에요. 어떤 생태계든 개발자 단말에 접근하면 저장소 토큰, 클라우드 세션, 지갑 정보 같은 값이 나올 수 있어요.

- 메인테이너 계정 탈취가 특히 위험한 이유는 신뢰 모델을 뒤집기 때문이에요. 새로 생긴 수상한 패키지가 아니라, 원래 쓰던 저장소의 새 버전이 오염될 수 있으니 기존 화이트리스트만으로는 부족해져요.

- 그래서 대응도 보안팀만의 일이 아니에요. 채용 과제 운영 방식, 개발 장비 정책, 패키지 배포 권한, 브라우저 확장 프로그램 승인 절차가 같이 바뀌어야 실제 감염 경로를 줄일 수 있어요.

## 핵심 포인트

- 악성 배포물 162개가 확인됐고, 고유 패키지와 확장 프로그램은 108개로 집계됨
- npm 19개, 컴포저 패키지 10개, 고 모듈, 크롬 확장 프로그램 등이 포함됨
- 가짜 채용 담당자와 화상 면접을 이용해 개발자 단말에서 악성 스크립트를 실행하게 만듦
- 브라우저 쿠키, 암호화폐 지갑 정보, 내부 접근 권한 탈취가 주요 목적임

## 인사이트

채용 프로세스가 공격 벡터가 된 게 제일 찝찝한 지점임. 개발자 입장에서는 코딩 테스트용 패키지 설치가 자연스러운 행동이라, 보안 교육만으로 막기 어렵고 실행 환경 격리가 필요해짐.
