어제 서로 다른 두 사람이 GitHub의 두 가지 프로젝트에 대해 연락을 취했습니다

GitHub을 통한 새로운 악성코드 유포 캠페인
최근 기술 커뮤니티에서 두 명의 개발자가 GitHub의 두 개의 서로 다른 프로젝트에 대해 접촉해 왔습니다. "Tito"라는 사용자는 "synara"에 대한 패치를 발견했다고 주장하는 댓글을 남긴 사용자에 대해 시작된 논의를 DM을 통해 알렸고, "Robert Z"는 또 다른 프로젝트에서 유사한 현상을 이메일로 전했습니다. 흥미로운 사건이 아닐 수 없습니다.
악성코드 패치의 정체
자세한 조사를 통해 해당 파일이 온라인에서 여러 이름으로 발견되었음을 알게 되었습니다. 예를 들면:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
이러한 발견은 누군가가 GitHub 계정을 만들어 열린 이슈에 패치가 발견되었다는 댓글을 남기고 있다는 것을 시사합니다. 이 패치는 악성코드로 분석되고 있으며, 자동화된 프로세스에 의해 이루어지고 있을 가능성이 높습니다.
캠페인의 발전과 악성코드 분석
이 악성코드 캠페인은 7월 7일, 즉 어제 시작된 것으로 보이며, 짧은 시간 내에 빠르게 퍼지고 있습니다. 내부 분석 결과, 해당 바이너리는 Go 언어로 작성된 프로그램으로 알려졌습니다. 이 프로그램은 원격 호스트에 질의(query)를 보내며, 해당 호스트는 Telegram 플랫폼으로 연결됩니다.
특히, Telegram의 채널 설명 부분에는 특정 웹사이트가 지정되어 있으며, 이 웹사이트는 악성코드의 페이로드가 악성코드를 다른 곳으로 유출하는 지점으로 사용됩니다. 이러한 방식은 해당 웹사이트가 삭제될 경우 Telegram 채널의 설명을 간편하게 변경할 수 있게 해줍니다. 이는 사실상 비공식 DNS 리졸버 역할을 합니다.
StealC 악성코드의 등장
현재 이 악성코드는 "StealC"라는 이름으로 알려져 있으며, YARA 식별자에 기반하여 분류됩니다. 이는 StealC를 사용하는 새로운 악성코드 캠페인일 가능성이 높습니다. GitHub 스팸의 독특한 사용과 Telegram을 통한 비공식 DNS 리졸버의 결합은 흥미롭습니다. 비록 Telegram이 강력한 철거 요청에 빠르게 대응하지 않기 때문에 이 방식이 더 효과적일 것으로 예상됩니다.
마무리
이렇듯, GitHub 플랫폼은 이제 공격자에게 새로운 기회를 제공하는 무대가 되고 있습니다. 개발자들은 침착하게 비슷한 현상을 기민하게 인지하고 대응할 필요가 있습니다. 이는 단순한 패치 이상으로, 시스템의 보안을 위협하는 심각한 악성코드 캠페인임을 잊지 말아야 할 것입니다.
TechOffice