보안(News)

북한 해커, JSON 저장소 악용해 악성코드 은밀 배포…개발자 노린 정교한 공격 포착

person GOEST지기 | calendar_today 2025. 11. 17.

북한 해커, JSON 저장소 악용해 악성코드 은밀 배포…개발자 노린 정교한 공격 포착

 

북한 연계 해킹 조직이 개발자를 표적으로 삼아, JSON 기반 저장 서비스(JSON Keeper, JSONsilo, npoint.io 등)를 이용해 악성 페이로드를 상당히 은밀한 방식으로 배포하고 있는 정황이 포착됐다. 이번 공격은 정상적인 개발 리포지토리와 합법 서비스 트래픽 속에 악성 활동을 교묘하게 숨겨 탐지를 어렵게 만드는 것이 특징이다.

보안 기업 엔비소(NVISO) 분석 결과, 공격 그룹은 기존 ‘Contagious Interview(컨테이저스 인터뷰)’ 캠페인의 최신 버전으로, 사회공학과 기술적 침투 기술이 결합된 형태다.

🧨 개발자 대상 ‘가짜 직무 평가·협업 요청’ 위장 공격

북한 해커들은 링크드인과 개발자 포럼 등지를 통해 소프트웨어 엔지니어, 연구원, 오픈소스 기여자 등을 표적으로 접근했다.

주요 위장 기법은 다음과 같다:

  • 가짜 채용 평가 과제 전달
  • 해외 기업 프로젝트 협업 요청
  • 검토용 GitHub/GitLab/Bitbucket 데모 프로젝트 다운로드 요구

피해자는 개발 프로젝트를 받는 과정에서 악성 파일을 포함한 저장소를 내려받게 된다.

🕵️ 악성코드, JSON 저장소로부터 ‘은밀히’ 로딩

엔비소가 분석한 사례에서는 깃 저장소 내부 server/config/.config.env 파일에 베이스64로 인코딩된 값이 들어 있었는데, 이는 API Key처럼 보이지만 사실은 JSON 저장소의 URL이었다.

이 URL에서 다음 단계 악성 페이로드가 난독화된 형태로 제공된다.

📌 악성 페이로드 구성

  1. Beavertail (JS 기반)
    • 브라우저 쿠키
    • 시스템 정보
    • 로그인 정보 등 민감 데이터 탈취
  2. InvisibleFerret (Python 백도어)
    • 원격 명령 실행
    • 추가 악성코드 다운로드
    • 장기적인 시스템 제어
  3. TsunamiKit 추가 로딩
    • 시스템 지문(Gathering)
    • 암호화폐 지갑 포함 데이터 탈취
    • Onion 기반 C2 인프라에서 추가 페이로드 획득
    • 현재 오프라인이지만 추후 활성화 가능성 존재

🧩 공격 특징: 정상 플랫폼과 섞여 탐지 우회

이번 공격의 가장 위험한 점은, 악성코드가 다음과 같은 합법적 서비스를 사용한다는 것이다.

  • GitHub / GitLab / Bitbucket
  • JSON 저장소 서비스
  • Pastebin
  • 클라우드 저장소

👉 덕분에 일반 트래픽 속에 섞여 탐지와 차단이 매우 어려움
👉 공격 지속성(Persistence)·유지성도 강화됨

🎯 북한 해커의 목표: 개발자 자격 증명부터 암호화폐까지

공격자는 단순한 계정 탈취를 넘어 다음까지 노리고 있다.

  • 개발자 Git 계정 권한
  • 소스코드 접근
  • 조직 내부 시스템 침투
  • 암호화폐 지갑 키 탈취
  • 보호되지 않은 API Key, Token

개발자를 초기 진입점으로 삼아 연쇄 침투할 가능성이 높아 업계 주의가 요구된다.

🔒 개발자를 위한 보안 권고

보안 전문가들은 다음 사항을 필수적으로 지키라고 권고한다:

✔ 1) 채용·협업 요청 시 저장소 다운로드 주의

  • 기업 이메일인지 확인
  • 저장소 수정 이력 검토
  • 압축파일·스크립트 포함 여부 점검

✔ 2) .env, .config, 숨김 폴더 내부 확인

  • 인코딩된 문자열(Base64) 포함 시 반드시 검사

✔ 3) 개발 환경 샌드박스 또는 가상환경(VM) 활용

  • 개인 컴퓨터에서 직접 실행 금지

✔ 4) 브라우저 확장 프로그램 최소화

  • 비버테일처럼 JS 기반 공격은 확장 프로그램을 악용 가능

✔ 5) 암호화폐 지갑은 분리된 장치에서 관리

  • 개발 작업 PC와 지갑 보관 PC는 분리

📌 결론

북한 사이버 위협 그룹은 개발자를 ‘가장 효율적인 침투 경로’로 보고 있으며 기술적 수준과 은닉 기법 또한 빠르게 고도화되고 있다.

합법 서비스에 숨어 파고드는 공격 방식은 탐지를 어렵게 만드므로, 개발자들은 의심스러운 링크·파일 다운로드를 경계하고 조직은 개발 환경 보안 점검을 강화해야 한다.

'보안(News)' 카테고리의 다른 글

도커허브 1만여 개 이미지에서 인증정보 대량 유출…AI 모델 키까지 노출된 이유  (0) 2025.12.15
🛑 미국 금융권 대규모 정보유출…SW 공급사 ‘마르퀴스’ 해킹으로 40만 명 피해  (0) 2025.12.05
🔐 ‘패스워드 없는 미래’, 여전히 멀다  (0) 2025.11.14
“보이지 않는 위험을 잡는다 — 금융보안원의 차세대 공격표면관리 전략”  (0) 2025.11.12
⚾ 프로야구 티켓, '1만 장 싹쓸이' 온라인 암표…언제까지 방치할 것인가?  (0) 2025.10.22
auto_awesome

'보안(News)' 카테고리의 다른 글

도커허브 1만여 개 이미지에서 인증정보 대량 유출…AI 모델 키까지 노출된 이유

2025.12.15

🛑 미국 금융권 대규모 정보유출…SW 공급사 ‘마르퀴스’ 해킹으로 40만 명 피해

2025.12.05

🔐 ‘패스워드 없는 미래’, 여전히 멀다

2025.11.14

“보이지 않는 위험을 잡는다 — 금융보안원의 차세대 공격표면관리 전략”

2025.11.12
더 보기 →