약 3,000개의 '고스트' 계정으로 이루어진 은밀한 네트워크가 GitHub 플랫폼을 악용해 멀웨어와 피싱 링크를 퍼뜨리고 있는 것으로 밝혀졌습니다. 이 운영 조직은 사이버 보안 기업 Check Point에 의해 '스타게이저 고블린'이라고 명명되었으며, 적어도 2023년 6월부터 활동해 온 것으로 확인되었습니다. 이들은 GitHub의 커뮤니티 도구를 활용해 악성 코드 리포지토리의 가시성과 합법성을 높이고, 무료 소프트웨어를 찾는 Windows 사용자들을 대상으로 공격을 펼치고 있습니다.
이 공격의 규모와 방식은 전례 없는 수준으로, Check Point의 악성코드 역공학 전문가 Antonis Terefos에 따르면 매우 정교한 것으로 평가됩니다. 이들은 텔레그램 채널을 통해 리포지토리와 별 표시(star)를 거래하며, 10달러에 100개의 별 표시, 50달러에 500개의 별 표시 등의 서비스를 제공하고 있습니다. 이 네트워크는 시작 이래 약 10만 달러의 수익을 올린 것으로 보이며, 한 달 만에 8,000달러를 벌어들였다고 합니다.
스타게이저 고블린이 배포하는 악성코드에는 Atlantida Stealer, Rhadamanthys, Lumma Stealer 등이 포함되어 있으며, 이들은 종종 소셜 미디어, 게임, 암호화폐 애플리케이션 등의 합법적인 도구로 위장됩니다. Terefos는 합법적인 리포지토리가 악성화되어 위험한 수준의 전파가 가능하다는 점에 주목했습니다.
GitHub은 불법 활동에 연루된 계정을 차단하기 위해 수동 검토와 머신러닝 기술을 동원하고 있습니다. 그러나 1억 명 이상의 사용자와 4억 2천만 개의 리포지토리를 보유한 GitHub은 여전히 사이버 범죄자들의 주요 타깃이 되고 있습니다. 보안 전문가들은 예상치 못한 코드 변경이나 하드코딩된 자격 증명 등 악성 리포지토리의 징후에 주의를 기울일 것을 당부하고 있습니다.
스타게이저 고블린 네트워크의 규모는 더 광범위할 수 있는데, 이를 시사하는 YouTube 계정에서 악성 링크가 공유되고 있기 때문입니다. 이번 연구 결과는 GitHub 사용자들이 잠재적으로 유해한 코드 다운로드에 대한 위험을 완화하기 위해 더 많은 주의를 기울여야 한다는 점을 강조하고 있습니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.