北 해킹조직, 인기 개발 패키지 위장 악성코드로 개발자 PC 노렸다 작성일 07-06 16 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">제이프로그 보안연구소, npm서 악성패키지 발견<br>가상화폐 지갑·로그인 정보 탈취·원격제어 시도</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QAu9L0e4ym"> <figure class="figure_frm origin_fig" contents-hash="0c8ddb0e9f7a8f181e6b14799f0c68952608f84ec1765d09fafa5a0a8b705756" dmcf-pid="xh8erVcnCr" dmcf-ptype="figure"> <p class="link_figure"><img alt="해킹 (PG). 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/06/dt/20260706060131140mswn.jpg" data-org-width="500" dmcf-mid="PBrlpE1yls" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/06/dt/20260706060131140mswn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 해킹 (PG). 연합뉴스 </figcaption> </figure> <p contents-hash="a76ada6a48ddfddcab61a67cd9fc430c8ea1e9fd584d98add1fe36673b721a39" dmcf-pid="y4lGbIu5Tw" dmcf-ptype="general"><br> 북한 정부의 지원을 받는 것으로 추정되는 해킹 조직이 전 세계 소프트웨어(SW) 개발자들이 즐겨쓰는 유명 코드 패키지로 위장한 악성 프로그램을 유포한 것으로 드러났다.</p> <p contents-hash="605d61cf9787a55a82b0b8457f54235400813656611c7203a9e029337f991579" dmcf-pid="W8SHKC71hD" dmcf-ptype="general">실리콘밸리 소재 글로벌 SW 기업 제이프로그 보안연구소는 자바스크립트 개발자용 공식 SW 저장소 ‘npm’에서 유명 코드 패키지를 정밀하게 베낀 악성 패키지 6종을 발견했다고 4일(현지시간) 밝혔다.</p> <p contents-hash="ad25777444891deaa466812a6b00feed1a4aa3eafcd4b28ae65301fe9638e73a" dmcf-pid="Y6vX9hzthE" dmcf-ptype="general">통상 개발자들은 코딩 작업 시 처음부터 끝까지 프로그램을 모두 짜지 않고 보편적으로 자주 쓰이는 기능은 그때그때 공용 저장소에서 내려받아 사용한다.</p> <p contents-hash="af51441acfe26d8e24dee9e06e7530156690070ac13efc38a3a875aea628cdf1" dmcf-pid="GPTZ2lqFTk" dmcf-ptype="general">해커들은 이 같은 개발 관행을 공략했다. 월 다운로드 수가 120만건을 웃도는 인기 패키지를 그대로 복제한 뒤 악성 코드를 삽입하고, 원본과 혼동하기 쉬운 유사 명칭으로 저장소에 올렸다.</p> <p contents-hash="6a2670675e95f9b5bc2fb54ce23ae52362b99a12304c19ff887dddf1c0b4072a" dmcf-pid="HQy5VSB3Tc" dmcf-ptype="general">예를 들어 정식 패키지명 ‘rollup-plugin-polyfill-node’ 대신 ‘rollup-packages-polyfill-core’나 ‘rollup-runtime-polyfill-core’ 등으로 게시하는 식이다. 개발자들이 패키지를 검색할 때 전체 이름 대신 ‘rollup polyfill’ 같은 일부 키워드만 입력하는 습관을 악용한 수법이다. 패키지 내 설명서와 홈페이지 주소까지 원본과 동일하게 꾸며 육안으로는 구분이 사실상 불가능했다.</p> <p contents-hash="022fa8d31a6bc2a593be49ba89febfd772c271a689375f17dedff0440fa805a5" dmcf-pid="XxW1fvb0TA" dmcf-ptype="general">악성코드 탐지를 피하기 위한 장치도 치밀하게 설계했다. 현재 실행 환경이 보안 위협을 감지하는 ‘샌드박스’임을 인식하면 악성 기능 자체를 비활성화하도록 설정했다. 또 핵심 악성코드를 패키지 내부에 포함시키지 않고, 설치·실행 시점에 외부 서버에서 별도로 내려받는 다단계 방식을 채택해 패키지 자체 검사만으로는 악성 여부를 판별하기 어렵게 했다.</p> <p contents-hash="6092629119446f2c6c26d983bd398ae6f64232d7d3cbcb43224cb4fe6f2fc27b" dmcf-pid="ZMYt4TKpyj" dmcf-ptype="general">이번 공격은 단순 인터넷 사용자가 아닌 기업 시스템을 구축하는 개발자 컴퓨터를 거점으로 삼아 기업 전체 네트워크에 침투하는 ‘SW 공급망 공격’ 형태다. 해커들은 감염된 개발자 PC를 통해 화면을 원격 감시하거나 시스템 통제권을 탈취하고, 가상화폐 지갑과 로그인 자격증명 등을 빼내려 한 것으로 추정된다.</p> <p contents-hash="cb93e19955affb1cbbd2bc9df98a4615d7af36c19f4f9ab3937f011247d26eb1" dmcf-pid="5RGF8y9UlN" dmcf-ptype="general">제이프로그 보안연구소는 이번 공격에서 확인된 다단계 구조와 위장 수법, 정보 탈취·원격제어 방식 등이 과거 미국 정부가 북한 연계 해킹 조직으로 규정한 ‘라자루스’ 활동 양상과 일치한다고 분석했다. 라자루스는 김수키·안다리엘과 더불어 북한 정찰총국 소속으로 알려진 3대 해킹 조직으로 꼽힌다. 지난해 국내 가상자산 거래소 업비트를 해킹의 배후로 지목된 바 있다.</p> <p contents-hash="873bd2f2f71f1c4299cca42acb0a297e337d2208cc60905b9e03f66cc267b4f5" dmcf-pid="1eH36W2uSa" dmcf-ptype="general">저장소에 올라온 가짜 패키지 일부는 긴급 조치를 통해 접근이 차단됐다. 다만 연구소는 이미 해당 패키지를 설치한 개발자나 기업은 피해 여부 등을 철저히 확인해야 한다고 당부했다.</p> <p contents-hash="17a21c21078bec8ced4a29039cdcbf2aaea92c6996f20c694b891f5b8288b04f" dmcf-pid="tdX0PYV7Sg" dmcf-ptype="general">이혜선 기자 hslee@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 궁금한 제품 곧바로 구매…네이버가 지향하는 AI 커머스 07-06 다음 위메이드 매각 나선 박관호… 9200억 뒤에 숨은 '차이나 리스크' 07-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.