[데일리시큐]공격자들, 깃허브 악용해 아마데이 악성코드 유포…대규모 사이버 공격 드러나

내용 요약

GitHub 플랫폼이 악성코드 배포 경로로 악용되는 사례가 발견되었습니다. 2025년 4월부터 MaaS 운영자들이 위조 GitHub 계정을 통해 악성 플러그인, 추가 페이로드, 공격 스크립트 등을 유포하고 있습니다. 이들은 정보 탈취 및 원격 제어를 목적으로 활동하며, 공격 대상에는 개발자 커뮤니티도 포함되는 것으로 추정됩니다.

핵심 포인트

• GitHub 플랫폼 악용: 악성코드 배포의 새로운 경로로 GitHub가 활용되고 있음.
• MaaS(Malware-as-a-Service) 운영: 전문적인 악성코드 제작 및 배포 서비스가 운영되고 있음을 시사.
• 위조 GitHub 계정 사용: 공격자들이 신뢰도를 높이기 위해 위조 계정을 사용.
• 악성 플러그인, 페이로드, 스크립트 유포: 다양한 형태의 악성코드를 통해 공격 범위 확대.
• 정보 탈취 및 원격 제어: 공격의 주요 목적.
• 개발자 커뮤니티 위협: 개발자들이 주로 사용하는 GitHub의 특성상, 개발자 커뮤니티가 주요 공격 대상이 될 수 있음.

기술 세부 내용

1️⃣ MaaS (Malware-as-a-Service)

• 서비스형 악성코드(MaaS)는 악성 소프트웨어를 서비스 형태로 제공하는 비즈니스 모델입니다. 마치 정식 소프트웨어처럼 구독이나 일회성 구매를 통해 악성코드를 이용할 수 있게 합니다.
• MaaS 제공자는 악성코드 개발, 배포, 유지 관리 등을 담당하며, 사용자는 기술적 전문 지식 없이도 악성코드를 사용하여 사이버 공격을 수행할 수 있습니다.
• 이러한 서비스는 다크웹이나 텔레그램과 같은 메신저 앱을 통해 제공되는 경우가 많습니다.
• MaaS는 진입 장벽을 낮춰 사이버 범죄를 더욱 확산시키는 주요 요인으로 지목되고 있습니다. 이번 GitHub 악용 사례에서 MaaS 운영자의 개입은 공격의 전문성과 조직적인 측면을 보여주는 중요한 지표입니다.

2️⃣ GitHub 악용 방식

• 위조 계정 생성: 공격자는 실제 개발자를 가장한 위조 GitHub 계정을 생성하여 신뢰도를 높입니다.
• 악성 플러그인 배포: 개발자가 사용할 만한 유용한 기능을 제공하는 것처럼 위장한 악성 플러그인을 배포합니다.
• 추가 페이로드 삽입: 악성 플러그인 내부에 추가 페이로드를 숨겨 설치 후 정보 탈취, 시스템 장악 등의 악의적인 행위를 수행합니다.
• 악성 스크립트 업로드: 공격 스크립트를 GitHub 저장소에 업로드하고, 이를 다른 악성코드에서 다운로드 및 실행하도록 유도합니다.
• 정상적인 프로젝트 위장: 악성코드를 정상적인 오픈소스 프로젝트에 숨겨 배포하는 방식도 사용됩니다.

3️⃣ 정보 탈취 및 원격 제어

• 정보 탈취: 사용자 계정 정보, 금융 정보, 개인 정보 등 다양한 정보를 탈취합니다. 키로깅, 스크린 캡처, 데이터베이스 접근 등 다양한 기법이 사용됩니다.
• 원격 제어: 감염된 시스템에 대한 원격 접근 권한을 획득하여 시스템을 제어하고 악용합니다. 봇넷 구축, DDoS 공격, 추가 악성코드 설치 등에 활용될 수 있습니다.

4️⃣ 개발자 커뮤니티 위협

• ‍‍ 개발자들이 많이 사용하는 GitHub 플랫폼의 특성상, 이번 공격은 개발자 커뮤니티에 심각한 위협을 초래할 수 있습니다.
• 악성코드가 포함된 라이브러리나 플러그인이 개발 프로젝트에 통합될 경우, 광범위한 시스템 감염으로 이어질 수 있습니다.
• ❗ 개발자들은 GitHub에서 코드를 다운로드하고 사용할 때, 출처와 신뢰성을 신중하게 검토해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168067