정상 프로젝트 위장, 깃허브 저장소 통해 악성코드 유포

정상 프로젝트 위장, 깃허브 저장소 통해 악성코드 유포
구글 검색 결과 SmartLoader 유포지가 상단에 노출되는 모습 [이미지 안랩]
💡
Editor Pick
- 게임 핵, 소프트웨어 크랙, 자동화 도구 검색시 깃허브 저장소 상단 노출
- 정상 프로젝트 위장 제작...감염된 PC 스크린샷, 시스템 정보 등 탈취

최근 깃허브(Github) 저장소를 통해 스마트로더(SmartLoader) 악성코드 유포가 포착됐다. 개발자와 이용자들의 주의가 요구된다.

해당 저장소들은 정상 프로젝트로 위장해 정교하게 제작됐다. 주로 게임 핵, 소프트웨어 크랙, 자동화 도구 등의 주제를 활용해 사용자 관심을 끌고 있다. 저장소에는 README 파일과 압축 파일이 포함돼 있다. 압축 파일 내부에 스마트로더 악성코드가 존재한다.

게임 핵, 소프트웨어 크랙, 자동화 도구 등 관련 키워드를 검색하면, 스마트로더 악성코드가 포함된 깃허브 저장소가 검색 결과 상단에 노출돼 있다. 사용자가 쉽게 접근할 수 있어 피해가 우려된다.

정상 프로젝트로 위장한 깃허브 저장소엔 README 파일 및 프로젝트 관련 파일들이 포함됐다. README 파일엔 프로젝트 개요, 목차, 주요 기능, 설치 및 사용 방법 등이 작성됐다. 때문에 일반 사용자가 악성코드 유포지로 인식하기 어렵다. 사용자는 안내된 설치 방법을 따라 압축 파일을 다운로드하게 된다. 해당 파일에는 악성코드가 포함됐다.

정상 프로젝트 위장한 깃허브 저장소 [이미지 안랩] 

다운로드 된 압축 파일에는 총 4개의 파일이 포함돼 있다. 각 파일 기능은 정상 실행 파일, 악성 배치파일, 난독화된 악성 스크립트, 런타임 인터프린트 기능을 수행하며, 최종적으로 스마트로더가 동작한다.

감염된 PC 스크린샷과 시스템 정보는 C2 서버로 전송된다. 서버로부터 수신한 응답 값을 기반으로 추가 악성 행위를 수행한다. C2 서버와 주고받는 데이터는 암호화 형태로 전달된다. 사용되는 키는 난독화돼 있다.

스마트로더는 주로, 정보 탈취형(InfoStealer) 악성코드를 다운로드한다. 악성코드 실행 사례가 다수 확인되는 만큼 이용자들은 피해를 입지 않도록 주의해야 한다.

압축 파일 내부

안랩은 "게임 핵, 크랙, 자동화 도구 등 불법 또는 비공식적인 키워드로 검색된 경로는 악성코드 유포 가능성이 높다"며 "반드시 공식 출처에서 소프트웨어를 다운로드할 것"을 당부했다. 또한, README 파일이 정교하게 작성됐어도 악성 저장소일 가능성이 있다며, 저장소 출처, 작성자 신뢰도, 커밋 및 활동 기록 등 확인"을 강조했다.


깃허브까지 섭렵한 다크웹 비즈니스맨, 멀웨어 유포 중
💡Editor’s Pick - 깃허브 세 개 계정에 멀웨어 호스팅 되어 있어 - 2월에까지 거슬러 올라가는 캠페인...표적은 우크라이나 - 개발자들의 둥지인 깃허브, 곧 해커들의 둥지가 될 수도 개발자들 사이에서 널리 사용되는 코드 리포지터리인 깃허브(GitHub)가 멀웨어 배포처로서 악용됐다. 시스코(Cisco)의 탈로스(Talos) 팀이 지난 4월 발견한 것으로, 공격자들은
톱탈의 깃허브 계정 도난 당한 후 악성 패키지 퍼져
💡Editor’s Pick - 톱탈이 봉한 깃허브 계정 도난 당해 - 공격자는 이 계정으로 악성 패키지 10개 퍼트려 - 비슷한 시기에 npm과 PyPI에서도 비슷한 공격 있어 기업과 인력을 연결시켜주는 플랫폼인 톱탈(Toptal)이 소유한 깃허브 계정이 침해됐다. 공격자들은 그 계정을 통해 악성 패키지 10개를 게시했다. 보안 업체 소켓(Socket)이 보고서를
유튜브 무료 동영상 다운로드 페이지 통해 악성코드 유포 ‘주의’
💡Editor Pick - 구글검색 통한 유튜브 무료 동영상 다운로드 웹페이지, 악성코드 유포 - 공격자, 깃허브를 악성코드 배포지로 활용해 악성코드 업로드 - 악성코드, 암호화폐 채굴처럼 네트워크 대역폭 탈취해 수익 가로채 최근 구글검색을 통한 유튜브 무료 동영상 다운로드 웹페이지서 악성코드 유포가 포착됐다. 이용자들의 주의가 요구된다. 유포되는 악성코드는 ’디지털플러스(DigitalPulse) 및 허니개인 프록시웨어(

 

Read more

파이선 리포지터리 PyPI에서 고급 악성 패키지 발견돼

파이선 리포지터리 PyPI에서 고급 악성 패키지 발견돼

💡Editor's Pick - soopsocks라는 악성 패키지, 2600번 다운로드 돼 - SOCKS5 프록시 생성 후 여러 악성행위 실시 - 공공 리포지터리의 안전한 활용 위한 대책 도입 시급 파이선 생태계의 코드 리포지터리인 PyPI에서 악성코드가 유포되고 있다는 사실이 발견됐다. 이번 악성 패키지는 일종의 백도어 기능을 가지고 있다고 한다. SOCKS5 프록시 서비스를

By 문가용 기자
오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

💡Editor's Pick - 대기업 자산 관리 솔루션 노리는 공격 - 데이터 훔쳤다는 협박 메일로부터 공격 시작 - 배후에 클롭 랜섬웨어 있을 가능성 높아 보여 구글의 보안 자회사 맨디언트(Mandiant)가 최근 새로운 악성 캠페인을 발견해 세상에 공개했다. 배후 세력으로 가장 유력한 건 악명 높은 랜섬웨어 단체인 클롭(Cl0p)

By 문가용 기자
한국서도 사용되는 마일사이트 라우터, 해킹 공격에 노출돼

한국서도 사용되는 마일사이트 라우터, 해킹 공격에 노출돼

💡Editor's Pick - 산업용 셀루러 라우터의 API, 인터넷에 노출돼 - 심지어 문자 메시지 열람과 확인까지 가능한 API - 너무 많은 권한을 주는 게 많은 보안 사고의 원인 산업용 셀룰러 라우터를 감염시키는 악성 캠페인이 발견됐다. 배후 세력은 자신들이 점거한 라우터들을 통해 악성 문자 메시지를 발송하고 있다고 한다. 단순 장난

By 문가용 기자
접근 제어 솔루션 원로그인에서 API 관리 부실 취약점 나와

접근 제어 솔루션 원로그인에서 API 관리 부실 취약점 나와

💡Editor's Pick - 원로그인에서 발견된 CVE-2025-59363 - client_secret이라는 민감 정보 노출시켜 - API 관리 개념 부족해서 생긴 취약점 인기 높은 아이덴티티 및 접근 관리 솔루션인 원로그인(OneLogin)에서 심각한 보안 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공한 공격자는 민감한 정보를 가져갈 수 있게 된다고 한다. 해당 취약점에는

By 문가용 기자