보안정보

GitHub에서 개발자를 대상으로 한 대규모 공격 활동이 진행되고 있다.

이 공격은 다양한 프로젝트의 토론 섹션에 가짜 Visual Studio Code(VS Code) 보안 경고를 게시하여, 사용자들이 악성 파일을 다운로드하도록 유도한다.

해당 게시물은 취약점 공지처럼 꾸며져 있으며, "Severe Vulnerability - Immediate Update Required"와 같은 현실적인 제목을 사용한다.

또한 가짜 CVE 식별자와 긴급한 표현을 포함하는 경우가 많다.

많은 경우, 공격자는 신뢰성을 높이기 위해 실제 코드 유지관리자나 연구자를 사칭한다.

한 보안 업체는 이러한 활동이 특정 표적을 노린 기회성 공격이 아니라고 밝혔다.

오히려 잘 조직된 대규모 작전의 일부로 보인다고 분석했다.

토론 게시물들은 새로 생성되었거나 활동이 거의 없는 계정에서 수천 개의 저장소에 걸쳐 몇 분 안에 자동으로 게시된다.

또한 태그된 다수의 사용자와 팔로워에게 이메일 알림을 보낸다.

[그림 1. GitHub 토론 게시판의 가짜 보안 경고]

보안 연구진은 "초기 검색 결과 수천 개의 거의 동일한 게시물이 여러 저장소에서 확인된다"고 밝혔다.

이어 "이는 고립된 사건이 아니라 조직적인 스팸 활동임을 보여준다"고 설명했다.

또한 "GitHub 토론은 참여자와 관찰자에게 이메일 알림을 보내기 때문에, 이러한 게시물은 개발자의 받은편지함으로 직접 전달된다"고 덧붙였다.

해당 게시물에는 Google Drive와 같은 외부 서비스에 호스팅된, 영향을 받은 VS Code 확장 프로그램의 패치된 버전에 대한 링크가 포함되어 있다.

 

 

[그림 2. 가짜 보안 경고 예시]

Google Drive는 VS Code 확장 프로그램의 공식 배포 채널이 아니다.

하지만 신뢰된 서비스이기 때문에 사용자가 이를 위험 신호로 인식하지 못할 수 있다.

Google 링크를 클릭하면 쿠키 기반 리디렉션 체인이 실행된다.

이어 피해자가 JavaScript 정찰 스크립트를 실행하는 drnatashachinn[.]com으로 이동하게 된다.

이 페이로드는 피해자의 시간대, 지역 설정, 사용자 에이전트, 운영체제 정보, 자동화 여부 지표를 수집한다.

수집된 데이터는 패키징되어 POST 요청을 통해 명령제어(C2) 서버로 전송된다.

[그림 3. 난독화가 해제된 JS 페이로드]

이 단계는 트래픽 분배 시스템(TDS) 필터링 계층 역할을 하며, 표적을 프로파일링해 봇과 연구자를 걸러낸다.

그리고 검증된 피해자에게만 2단계 페이로드를 전달한다.

해당 보안 업체는 2단계 페이로드를 확보하지 못했지만, JavaScript는 이를 직접 전달하지도 않는다고 설명했다.

또한 자격 증명을 탈취하려는 시도도 포함되어 있지 않은 것으로 나타났다.

이는 GitHub의 정상 알림 시스템이 피싱 및 악성코드 유포에 악용된 첫 사례가 아니다.

2025년 3월에는 12,000개 이상의 GitHub 저장소를 대상으로 한 대규모 피싱 활동이 있었다.

해당 공격은 개발자를 속여 악성 OAuth 애플리케이션을 승인하게 만들어, 공격자들이 개발자 계정에 접근할 수 있도록 하였다.

또한 2024년 6월에는 공격자가 스팸 댓글과 pull request를 이용하여, GitHub 이메일 시스템을 악용하고 피해자를 피싱 페이지로 유도됐다.

보안 경고를 접했을 경우 사용자는 NVD, CISA의 알려진 악용 취약점 목록 또는 MITRE의 CVE 웹 사이트와 같은 공신력 있는 출처에서 취약점 식별자를 검증해야 한다.

또한 즉시 행동하기 전에 해당 경고의 정당성을 판단해야 한다.

외부 다운로드 링크, 검증되지 않은 CVE, 무관한 사용자 대량 태그와 같은 사기 징후를 확인해야 한다.

출처

https://www.bleepingcomputer.com/news/security/fake-vs-code-alerts-on-github-spread-malware-to-developers/