어제 서로 다른 두 사람이 GitHub의 두 가지 프로젝트에 대해 연락을 주었습니다

GitHub에서 발견된 새로운 악성코드 캠페인: StealC
최근 GitHub와 관련된 두 개의 프로젝트에서 발생한 새로운 악성코드 캠페인에 대한 첩보가 접수되었습니다. 두 개인, "Tito"와 "Robert Z"가 각각 서로 다른 프로젝트에서 악성 댓글을 발견한 사실을 알렸습니다. 이들은 소스 코드에 대한 패치를 주장하며 악성파일을 유포하고 있습니다. 이번 사건은 사이버 보안 전문가들 사이에서 큰 관심을 받고 있으며, 조사 결과 이 사건은 패치 파일을 가장한 악성코드 "StealC"와 관련이 있는 것으로 드러났습니다.
악성코드 패치 주장
Tito는 GitHub에서 "synara"라는 프로젝트에 대한 패치를 제안하는 댓글을 발견했으며, Robert Z는 다른 프로젝트에서 비슷한 주장을 접수했습니다. 이 댓글들은 대개 자동화된 시스템을 통해 생성된 것으로 보이며, 실질적으로 사용자가 다운로드하면 악성코드가 활성화됩니다. 조사 결과 확인된 패치 파일의 목록은 다음과 같습니다:
- hb_patch_v1112
- registry_patch_v0.1.7
- rep_fix_v1.zip
- sodium_fix_v1
- log_fix_patch
캠페인 시작과 코드 분석
이러한 악성코드 캠페인은 7월 7일부터 시작된 것으로 보이며, 빠르게 퍼지고 있습니다. 내부적으로 조사한 결과, 이 악성코드는 Go 프로그래밍 언어로 작성된 프로그램이며, 실행되면 원격 호스트에 접속하여 Telegram과 연결됩니다. Telegram 채널의 설명에는 특정 웹사이트 링크가 포함되어 있으며, 이 웹사이트는 코드가 유출되는 장소입니다.
특히 이러한 방식은 지정된 웹사이트가 차단될 경우 Telegram 채널의 설명을 신속하게 변경할 수 있는 장점이 있습니다. 이는 사실상 불법 DNS 해 resolver로 기능합니다.
StealC: 새로운 악성코드의 등장
현재 이 악성코드는 YARA 식별자에 기반하여 StealC로 식별되고 있습니다. 이는 새로운 악성코드 캠페인의 일환으로, GitHub의 스팸 댓글과 Telegram의 비공식 DNS 해 resolver를 결합한 독특한 방식입니다. Telegram은 사용자 신고에 대한 대응 속도가 상대적으로 느리기 때문에, 오히려 이러한 방식이 악성코드 배포에 유리할 수 있습니다.
결론
이번 StealC 캠페인은 GitHub와 Telegram을 효과적으로 이용하여 사용자를 속이는 새로운 방식의 사회공학적 공격입니다. 사용자들은 소스 코드에 대한 패치가 실제로 존재하는지 확인해야 하며, 검증되지 않은 파일은 절대 다운로드해서는 안 됩니다. 사이버 보안 전문가들은 공격자들이 사용하는 수법을 지속적으로 모니터링하며, 사용자들에게 경고해야 할 필요성이 더욱 강조되고 있습니다.
| 파일명 | 확인된 특징 |
|---|---|
| hb_patch_v1112 | 악성코드 포함 |
| registry_patch_v0.1.7 | 자동화된 댓글 제안 |
| rep_fix_v1.zip | Go로 작성된 프로그램 |
| sodium_fix_v1 | 원격 호스트 접속 확인 |
| log_fix_patch | Telegram과 관련 링크 포함 |
TechOffice