구직자로 위장한 공격자의 Github 악용 악성코드 유포 사례 분석
Contents
요약
깃허브에서 동일한 악성코드를 포함한 리포지토리 2개를 발견해 분석했다.
공격자는 실제 리포지토리를 복사하거나 긴 공백을 통해 악성코드를 숨기는 등 다양한 수법을 사용하여 정상 리포지토리처럼 보이도록 하였다.
최종적으로 실행되는 백도어 악성코드는 여러 스레드가 상호작용하며, IOCP(Input/Ouptput Completion Port )를 통해 C&C 서버와 통신한다.
공격자의 리포지토리를 조사해 공격 변환 과정을 파악했고, 공격자가 풀스택 및 블록체인 개발자로 위장해 구직 활동한 것을 확인했다.
공격자는 리포지토리에 악성코드를 삽입할 뿐만 아니라, 피싱 사이트를 제작하고 채용 과정으로 위장한 악성코드 유포 공격도 준비중이다.
1. 개요
깃허브는 개발자들이 자신의 작업물이나 포트폴리오를 공유하고 협업하는 데 활용되는 플랫폼이다. 그러나 연구원이나 개발자, 구직자로 위장하여 정상적인 리포지토리처럼 보이게 한 뒤, 일부 파일에 악성 스크립트를 삽입하거나 악성코드를 1-Day 취약점 PoC로 위장해 업로드하는 등 악성코드 감염을 유도하는 다양한 사례가 존재한다.
북한 IT 노동자들의 경우 외화 벌이와 정보 탈취 목적으로 링크드인과 깃허브에 허위 프로필을 만들고, 개발자로 위장하여 취업을 시도하는 사례가 확인된 바 있다.
이처럼 깃허브는 공격자들이 사회공학 기법과 결합하여 채용 담당자나 일반 사용자를 속이는 데 악용되고 있다.
공격자의 구직 활동 기록
공격자의 구직 …
깃허브에서 동일한 악성코드를 포함한 리포지토리 2개를 발견해 분석했다.
공격자는 실제 리포지토리를 복사하거나 긴 공백을 통해 악성코드를 숨기는 등 다양한 수법을 사용하여 정상 리포지토리처럼 보이도록 하였다.
최종적으로 실행되는 백도어 악성코드는 여러 스레드가 상호작용하며, IOCP(Input/Ouptput Completion Port )를 통해 C&C 서버와 통신한다.
공격자의 리포지토리를 조사해 공격 변환 과정을 파악했고, 공격자가 풀스택 및 블록체인 개발자로 위장해 구직 활동한 것을 확인했다.
공격자는 리포지토리에 악성코드를 삽입할 뿐만 아니라, 피싱 사이트를 제작하고 채용 과정으로 위장한 악성코드 유포 공격도 준비중이다.
1. 개요
깃허브는 개발자들이 자신의 작업물이나 포트폴리오를 공유하고 협업하는 데 활용되는 플랫폼이다. 그러나 연구원이나 개발자, 구직자로 위장하여 정상적인 리포지토리처럼 보이게 한 뒤, 일부 파일에 악성 스크립트를 삽입하거나 악성코드를 1-Day 취약점 PoC로 위장해 업로드하는 등 악성코드 감염을 유도하는 다양한 사례가 존재한다.
북한 IT 노동자들의 경우 외화 벌이와 정보 탈취 목적으로 링크드인과 깃허브에 허위 프로필을 만들고, 개발자로 위장하여 취업을 시도하는 사례가 확인된 바 있다.
이처럼 깃허브는 공격자들이 사회공학 기법과 결합하여 채용 담당자나 일반 사용자를 속이는 데 악용되고 있다.
공격자의 구직 활동 기록
공격자의 구직 …
IoC
https://github.com/RealToma/Ly_AutoPayBot
http://166.88.90.143:12321
http://166.88.90.143
https://github.com/L34rnT0C0d3
https://github.com/mthomas0802/Market-Maker-Bot
http://166.88.117.246
https://www.dropbox.com/scl/fi/edq1ecio6zr2ophnnv3l7/89373.png?rlkey=whwftc8qf452xku7c8ya3cd5o&st=bcmppt7i&dl=0
https://files.catbox.moe/zxmneq.png
http://166.88.90.143/ms/edgeLogo.webp
https://app.mercuryswap.io
https://files.catbox.moe/mur3el.png
http://166.88.117.246:12321
http://166.88.117.246/blogs/21549876546523165464
166.88.117.246
166.88.90.143
52046ad374041f0cabc47e897e10de86b64997ed6da8123d067dac7ead5343b7
7790c55c5dded39c0a6a0eabf05665ce96762047db20ae8e472715461080237d
8b6d6807213c21c84192cc697d96396eced341f342161045df990830d371b70c
13412b54e3e8f30d3179e54cc653dc651e8cbe43d625c96451942910c91e76b9
5527f0acb4755e4402434f84c0aac602260e0736f7fdb62cdc329955d47ffe3b
6ac3bd5e67f5ba1f8effbb53d25078e11ba3dd3d3d5046f5409d653c73db5d59
http://166.88.90.143:12321
http://166.88.90.143
https://github.com/L34rnT0C0d3
https://github.com/mthomas0802/Market-Maker-Bot
http://166.88.117.246
https://www.dropbox.com/scl/fi/edq1ecio6zr2ophnnv3l7/89373.png?rlkey=whwftc8qf452xku7c8ya3cd5o&st=bcmppt7i&dl=0
https://files.catbox.moe/zxmneq.png
http://166.88.90.143/ms/edgeLogo.webp
https://app.mercuryswap.io
https://files.catbox.moe/mur3el.png
http://166.88.117.246:12321
http://166.88.117.246/blogs/21549876546523165464
166.88.117.246
166.88.90.143
52046ad374041f0cabc47e897e10de86b64997ed6da8123d067dac7ead5343b7
7790c55c5dded39c0a6a0eabf05665ce96762047db20ae8e472715461080237d
8b6d6807213c21c84192cc697d96396eced341f342161045df990830d371b70c
13412b54e3e8f30d3179e54cc653dc651e8cbe43d625c96451942910c91e76b9
5527f0acb4755e4402434f84c0aac602260e0736f7fdb62cdc329955d47ffe3b
6ac3bd5e67f5ba1f8effbb53d25078e11ba3dd3d3d5046f5409d653c73db5d59