깃허브까지 섭렵한 다크웹 비즈니스맨, 멀웨어 유포 중

개발자들 사이에서 널리 사용되는 코드 리포지터리인 깃허브(GitHub)가 멀웨어 배포처로서 악용됐다. 시스코(Cisco)의 탈로스(Talos) 팀이 지난 4월 발견한 것으로, 공격자들은 깃허브에 가짜 계정을 만들어 악성 페이로드와 해킹 도구를 호스팅하고 있었다고 한다. 이 중에 에멘탈(Emmenhtal)과 아마디(Amadey)라는 멀웨어들이 발견된 것도 눈에 띄는 사실이다.

에멘탈 멀웨어는 이미 올해 2월 또 다른 악성 캠페인을 통해 유포된 적이 있다. 탈로스에 의하면 “올해 초 발견됐던 캠페인은 스모크로더(SmokeLoader)라는 멀웨어를 우크라이나 개인과 단체들에 심는 것을 목표로 삼았던 것으로, 이번에 발견된 깃허브 캠페인과 여러 가지 면에서 겹친다”고 한다. “전략, 전술, 배포 방식 등이 동일한데다가 사용된 에멘탈 변종 버전까지 같습니다. 배후에 동일한 세력이 있을 가능성이 높습니다.”

참고로 에멘탈은 일종의 다운로더로, 피해자의 시스템에 선진입한 후 또 다른 멀웨어를 설치하는 역할을 담당한다. 연초에는 스모크로더를 주로 다운로드 했고, 이번에는 아마디로 피해 시스템을 감염시켰다. 여러 버전이 존재하며, 다크웹에서 판매되고 있어 누구나 돈만 지불하면 사용 가능하다. 즉, 에멘탈만 가지고 공격자를 특정하는 게 어렵다는 뜻이다.

두 개의 악성 캠페인

지난 캠페인의 경우 공격자들은 우크라이나 단체들을 겨냥해 피싱 이메일들을 보내기 시작했다. 송장 결제 및 청구서로 위장된 것들이었다. “이메일에는 한 개 이상의 자바스크립트가 압축된 아카이브가 첨부돼 있었습니다. 이 자바스크립트 기반 도구가 에멘탈입니다. 이를 받아 압축을 풀면 자바스크립트가 실행되는데, 이를 통해서 파워셸 다운로드 도구가 설치됩니다. 이것을 통해서는 스모크로더가 다운로드 되고요.”

에멘탈을 분석하던 탈로스는 매우 유사한 변종들을 바이러스토탈(VirusTotal)에서 발견할 수 있었다. 추적 끝에 해당 샘플들이 깃허브 저장소에 호스팅되어 있다는 걸 알게 됐고, 이 샘플들의 경우 스모크로더 대신 아마디를 퍼트리고 있었다는 것도 알아냈다. 그 아마디는 또 다른 깃허브 계정으로부터 다양한 악성 페이로드를 피해자 시스템에 심는 기능을 탑재하고 있었다. “즉 두 개의 캠페인이 사실 하나의 목적으로 운영되고 있음을 알 수 있습니다.”

에멘탈과 아마디

에멘탈은 2024년 8월 처음 발견된 다운로더인데, 보안 업체 맨디언트(Mandiant)는 피크라이트(PEAKLIGHT)라고 부르기도 한다. 난독화 기능과 다운로드 기능으로 구성돼 있다. 2024년 이전에는 활동 이력이 없는 것으로 현재까지는 알려져 있다. 2024년에 처음 개발돼 활용된 멀웨어일 가능성이 높다는 의미다.

아마디는 일종의 봇넷 멀웨어로, 2018년 러시아 해킹 포럼에 처음 등장했다. 시스템 정보를 수집하고 2차 페이로드를 다운로드 하는 기능을 담당한다. 당시 가격은 500달러 정도였고, 많은 공격자들이 이를 구매해 자신들만의 공격 인프라를 구축했다. 그 공격 인프라로 여러 악성 행위를 저질렀는데, 결국에는 레드라인(Redline), 룸마(Lumma), 스틸씨(StealC), 스모크로더와 같은 멀웨어를 유포하는 것으로 정리됐다. 지금은 그래서 일종의 다운로더로서 활용되는 경우가 더 많다.

깃허브도 안심할 곳 아냐

이 캠페인의 배후에는 ‘멀웨어 사업자’가 있다고 탈로스는 지적한다. 우크라이나 단체를 공격했기 때문에 러시아 정부와 관련된 APT 조직이 먼저 떠오를 수 있는데, 그렇다 하더라도 ‘멀웨어 사업자’가 대여하는 인프라를 활용한 것일 뿐, 진짜 뿌리는 악성 비즈니스맨이라고 설명을 덧붙인다. “멀웨어나 공격 인프라를 미리 마련하고, 이를 다양한 공격자들에게 유료로 제공하는 사업자들이 다크웹에서 불어나고 있습니다. 이들 덕분에 많은 해커들이 최초 침투나 추적 방해, 멀웨어 개발을 걱정하지 않아도 되는 상황입니다. 그러므로 범죄 촉진자라고 할 수 있습니다.”

요즘 다크웹에서 ‘대여 사업’을 하는 자들은 공공 클라우드 서비스와 깃허브 같은 리포지터리들도 자신들의 인프라에 적극 포함시키고 있다. 공공 클라우드나 유명 리포지터리는 신뢰도가 높아 보안 도구들을 곧잘 회피하기 때문이다. “깃허브는 파일 호스팅 용도로 사용했을 때 매우 간편하다는 장점이 있습니다. 또 소프트웨어를 개발하는 많은 조직들이 깃허브 도메인을 전혀 차단하지 않고 있기도 합니다. 그러니 깃허브를 거치는 악성 트래픽은 정상 트래픽과 구분하기가 힘듭니다. 

게다가 깃허브를 주로 사용하는 ‘개발자’들은, 최근 공격자들이 가장 많이 노리는 부류들이기도 하다. 개발자의 프로젝트를 감염시키면, 그 프로젝트를 차용하는 또 다른 수많은 애플리케이션들을 자동으로 감염시킬 수 있기 때문이다. “개발자 한 명 속이면 엄청난 멀웨어 배포 효과를 누릴 수 있습니다. 깃허브가 공격자들에게 선호되기 시작한 이유가 여러 개입니다.”

이 캠페인에 연루된 깃허브 계정은 현재까지 3개인 것으로 밝혀졌다. “이 계정들의 이름은 LLegendary99999, DFfe9ewf, Milidmdds입니다.” 현재 이 계정들은 전부 차단된 상태지만, 연루된 것들이 더 있을 수 있어 분석을 이어가고 있다.

Related Materials

• 200+ Trojanized GitHub Repositories Found in Campaign Targeting Gamers and Developers - The Hacker News, 2025년
• Malware-as-a-Service Campaign Exploits GitHub to Deliver Payloads - Infosecurity Magazine, 2025년
• Over 3,000 GitHub accounts used by malware distribution service - BleepingComputer, 2024년
• Nearly a million devices were infected in a huge GitHub malvertising campaign - ITPro, 2025년