소스코드 저장소 깃허브가 북한 해킹조직 라자루스의 공격에 대비하라고 권고했다.
최근 블리핑컴퓨터 등 외신에 따르면 깃허브는 라자루스의 공격행위를 사전에 식별해 안전하게 차단했다고 밝혔다. 다만 이후 지속적인 공격이 이어질 수 있는 만큼 사용자들이 주의할 수 있도록 공격행위를 분석한 내용을 공식 블로그를 통해 밝혔다.
깃허브에 따르면 해킹조직은 저장소 초대와 악성 npm 패키지 종속성 등의 공격 방식을 사용해 IT기업 직원의 개인 계정을 노린 것으로 나타났다. 주요 공격 목표는 블록체인, 암호화폐, 온라인도박 관련 개발자 계정으로 금전적인 이익을 노린 것으로 분석된다.
또한 일부 공격은 사이버 보안 관계자 계정을 노리기도 했다. 이는 지난해부터 급증한 공급망 공격 등을 의도한 것으로 보인다.
이들은 깃허브나 텔레그램, 링크드인, 슬랙 등에 위장 계정을 만든 후 표적에 연락을 취하고 저장소에서 협업하며 친분을 쌓는다. 이후 자신의 저장소로 초청해 멀웨어가 포함된 npm패키지를 다운 받도록 유도해 상대를 감염시킨다.
상황에 따라 저장소 초대, 전달 단계를 우회해 메시징 또는 파일 공유 플랫폼을 통해 직접 악성 파일을 전달할 수도 있다.
관련기사
- 대담해지는 랜섬웨어, 금전과 생명 맞바꾼다2023.07.20
- 사이버 범죄 특화 생성AI ‘웜GPT’ 발견, 기업 보안 주의2023.07.17
- 국정원 "내년 선거 앞둔 하반기, 北 사이버공격 집중"2023.07.19
- 엔키, 카이스트 사이버보안연구센터와 업무협약 추진2023.07.19
깃허브 측은 최근 게시된 새로운 패키지 또는 설치 중에 네트워크 연결을 만드는 스크립트나 종속성이 있을 경우 보안 검사를 받을 것을 제안했다. 또한 깃허브는 멀웨어가 포함된 것으로 확인된 도메인과 패키지를 확인할 수 있도록 공식 블로그를 통해 공개했다.
라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등 주로 금융관련 해킹 사건에 연루된 것으로 알려진 북한 해킹조직이다.