Security

깃허브에서 개발자 유혹하는 공격자, 새 멀웨어 퍼트려

문가용 기자

Published: 12:15, 15 Dec 2025 (Updated: 20:18, 14 Jan 2026)

💡

Editor's Pick
- 깃허브에서 개발자들이 좋아할 만한 리포지터리 생성
- '좋아요' 수 늘리고, 홍보하고, 트렌딩 목록에도 올려
- 실제 설치되는 건 각종 정보 빼돌리는 정보 탈취 멀웨어

공공 코드 리포지터리인 깃허브(GitHub)를 통해 새로운 트로이목마가 유포되고 있다는 고발이 나왔다. 문제의 멀웨어는 파이스토어랫(PyStoreRAT)으로, 자바스크립트로 작성됐으며, 이전까지 한 번도 분석된 적이 없다고 보안 기업 모피섹(Morphisec)이 경고했다. 파이스토어랫은 이름(랫, RAT)에서도 이미 알 수 있듯이 무단 원격 접근을 허용해 주는 기능을 포함하고 있다.

공격 진행 방식

공격자들은 제일 먼저 깃허브에 파이선이나 자바스크립트 기반 리포지터리를 생성한다. 주로 OSINT 도구나 보안 유틸리티, GPT 래퍼, 디파이(DeFi) 봇 등, 개발자들이 좋아할 만한 도구들을 테마로 내세운다. 당연하지만, 보다 많은 개발자들의 클릭을 유발하기 위해서다. 리포지터리는 여느 정상 리포지터리와 비슷한 이름과 폴더 구조, 리드미 파일 등으로 구성돼 있어 한 눈에 수상함을 느끼기는 힘들다.

그 다음으로 공격자들은 이 가짜 리포지터리를 홍보한다. 유튜브나 엑스를 주로 활용하는 것으로 조사됐다. 이를 통해 유입되는 사람들의 눈을 속이기 위해 별, 포크, 열람 수를 인위적으로 부풀리기도 한다. 이렇게 시끄럽게 군 덕분에 악성 리포지터리들은 대부분 깃허브의 ‘트렌딩(요즘 뜨는 리포지터리)’ 목록에 올라가기도 한다. 이는 이런 악성 리포지터리들의 신뢰도를 한층 더 높인다.

이제 기다리는 일이 남았다. 트렌딩에도 올라가 있어, 여기 저기 홍보도 되고 있어, 심지어 ‘좋아요’ 수도 충분하니, 누군가 이런 외적인 현상들에 속아 리포지터리를 다운로드 받아 설치할 것이 분명하기 때문이다. “게다가 초기 상태의 리포지터리들에는 악성 코드도 없습니다. 리포지터리를 알리는 단계에서 누군가 의심해 전말을 파헤치지 못하게 하기 위함이죠. 악성 코드는 이후에 추가됩니다.”

충분한 시간을 기다렸다면 공격자들은 maintenance나 bugfix, update와 같은 추가 커밋을 통해 짧은 로더 코드를 추가한다. 이 코드는 짧은 몇 줄에 불과해 코드 검토 시 눈에 잘 띄지 않는다. 이 로더는 원격에 호스팅 되어 있는 HTA 파일을 다운로드 하는 기능을 가지고 있다. 이 파일은 윈도의 기본 도구인 mshta.exe를 통해 실행한다.

로더가 하는 일

로더는 피해자 컴퓨터에서 제일 먼저 ‘어떤 보안 제품이 설치돼 있나’ 검토한다. “크라우드스트라이크(CrowdStrike)의 팔콘(Falcon)이라든가, 리즌(Reason)과 같은 문자열을 검토합니다. 이 때 적절한 문자열이 탐지되면 mshta.exe를 cmd.exe를 통해 간접적으로 실행하고, 탐지되지 않으면 mshta.exe를 곧바로 실행합니다.”

실행된 로더는 HTA 파일을 다운로드 하는데, 이 파일이 파이스토어랫 페이로드를 다운로드 하여 실행하는 역할을 담당한다. 파이스토어랫은 OS와 피해자 권한 등 시스템 정보와, 레저라이브(Ledger Live)와 트레저(Trezor) 등 암호화폐 지갑 관련 정보를 수집한다. 표적이 되는 암호화폐 지갑은 이 두 개에 더해 엑소더스(Exodus), 아토믹(Atomic), 구아다(Guarda), 비트박스02(BitBox02)다.

그런 후에는 시스템 내 스케줄러를 조작함으로써 공격 지속성을 확보한다. 피해자가 컴퓨터를 재부팅해도 이 스케줄러 덕분에 파이스토어랫이 다시 시작된다. 지속적으로 피해자 컴퓨터에 남아 있는 파이스토어랫은 공격자의 C&C 서버와의 연결성을 확보한 후 공격자로부터 추가 명령을 받아 실행한다. 공격자는 추가 페이로드를 심거나 파워셸 명령을 실행하기도 한다. 이 단계에서 라다만티스(Rhadamanthys)라는 멀웨어가 추가로 설치되는 게 보통이라고 모피섹은 설명한다.

라다만티스는 정보 탈취형 멀웨어다. 다크웹에서 대여 형태로 판매되며, 윈도 환경에서 실행된다. 계정 정보와 크리덴셜, 브라우저 정보, 암호화폐 자산 등을 훔친다. 누구나 구매하여 사용할 수 있고, 실제 많은 범죄 조직들이 구분 없이 사용하고 있어 라다만티스를 이용한 공격 캠페인이 적발될 때마다 배후를 추적하기는 어렵다.

누가 뒤에 있는가?

현재까지 이번 파이스토어랫 캠페인의 배후에 누가 있는지는 명확하지 않다. 다만 코드 분석 과정에서 러시아어로 된 아티팩트가 발견됐고, 러시아 해커들이 주로 사용하는 코딩 패턴이 나타났기 때문에 모피섹은 “동유럽 계열 해킹 그룹일 가능성이 높아 보인다”고 여기고 있다.

“공격자들의 목적은 결국 ‘금전 탈취’로 보입니다. 암호화폐와 관련된 정보를 적극적으로 수집하고 있기 때문에 가능한 추측입니다. 하지만 오히려 이런 행위는 연막일 수 있습니다. 실제 공격자들이 원하는 건 시스템 정보나 크리덴셜, 브라우저 쿠키, 깃허브 토큰 등일 수도 있다는 것이죠. 이런 민감 정보들은 국가 지원을 받는 APT 공격 조직들이 원하는 것이기도 합니다.” 모피섹의 설명이다.

새로 발견된 파이스토어랫을 심기만 하면 공격자들은 자기가 원할 때, 자기가 원하는 정보를 탈취할 수 있다는 게 이번 캠페인의 핵심이다. 이번에는 암호화폐 관련 정보를 주로 노리는 것처럼 보이지만, 또 어느 때 돌변하여 신원 정보를 캐낼 수도 있다는 것이다. 즉, 공격자들의 주요 동기를 아직 쉽게 결정 지을 수는 없다는 게 모피섹의 최종 설명이다.

개발자들, 조심 또 조심

개발자들을 노리는 사이버 공격이 이제는 일시적 유행을 넘어 하나의 트렌드로 굳어져 가고 있다. “지금 개발자들은 공격자들 입장에서 가장 가성비가 좋은 표적입니다. 기업이나 기관으로 들어가는 정문 정도의 취급을 받고 있다고 봐도 무방합니다. 그 이유는 현대와 같은 대 소프트웨어 시대에 개발자가 가진 권한이 무척 높기 때문입니다. 개발자 장비에는 깃허브 토큰, SSH 키, 클라우드 API 키, 각종 자원에 대한 접근 권한이 풍성히 포함돼 있죠. 그 자체로 하나의 금고라고 할 수 있습니다. 그것도 보안이 허술한.”

게다가 이 개발자들은 아직까지 깃허브라는 생태계를 무조건적으로 신뢰하려는 습성도 가지고 있다. 동료 개발자들 모두가 사용하는 플랫폼이라는 게 가장 큰 이유다. 그렇기 때문에 깃허브 리포지터리 중 ‘좋아요(별표, 포크, 열람 수)’가 많은 것은 자동으로 큰 신뢰를 받기도 한다. “이런 신뢰 형성 체계 자체가 문제입니다. 하지만 이건 개발자 개개인의 인식 속에 박혀 있는 거라 쉽게 수정이 되지 않습니다. 이를 공격자가 잘 이해하고 있기에 깃허브 같은 리포지터리들을 지속적으로 노리는 겁니다.”

모피섹은 개발자들에게 “깃허브 트렌딩에 선정된 도구들이라고 해서 무조건 신뢰해서는 안 되며, 좋아요 수에도 신뢰도가 좌지우지 되어서는 안 된다”고 강조한다. “코드를 다운로드 받아 실행하기 전에 최소한 설치 스크립트나 매뉴얼 등은 꼼꼼하게 읽어보는 것이 좋습니다. 격리 환경에서 테스트를 하는 것은 더욱 안전합니다. 개발자로서 사용하는 계정과, 개인으로서 사용하는 계정을 한 컴퓨터 안에서 혼용하지 않는 게 좋습니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)