"북한 해커조직, 개발자 이용하는 코드 뭉치 위장해 악성 코드 유포"
2026.07.05 11:06
실리콘밸리 소재 글로벌 SW기업 제이프로그 보안연구소는 자바스크립트 개발자들의 공식 SW 저장소인 'npm'에서 유명 코드 뭉치를 정밀하게 베낀 악성 패키지 6종을 발견했다고 밝혔습니다.
개발자들은 일반적으로 코딩을 할 때 처음부터 끝까지 프로그램을 모두 짜지 않고 보편적으로 자주 쓰이는 기능은 그때그때 공용 저장소에서 내려받아 사용합니다.
이런 관행을 노린 해커들은 한 달에 120만 건 이상 다운로드 되는 유명 코드 뭉치를 베껴 거기에 해킹을 위한 코드를 살짝 끼워 넣은 다음 진짜와 유사한 이름으로 올렸습니다.
예를 들어 정식 코드 뭉치인 'rollup-plugin-polyfill-node'와 혼동할 수 있는 이름인 'rollup-packages-polyfill-core'나 'rollup-runtime-polyfill-core' 등으로 게시하는 식입니다.
개발자들이 패키지명을 모두 입력하지 않고 'rollup polyfill'과 같이 이름 일부만으로 검색한다는 점을 악용한 것입니다.
안에 포함된 설명서와 홈페이지 주소 등도 원본과 똑같이 만들어 자세히 살펴보지 않는 이상 구분할 수 없도록 했습니다.
악성 코드 탐지에 걸리지 않도록 우회 기능도 설치했습니다.
우선 악성 코드가 현재 실행되는 위치가 보안 위협 여부를 탐지하는 '샌드박스' 환경임을 인지하면 동작하지 않도록 했습니다.
또 악성 기능을 정상 코드로 위장해 숨기는가 하면, 핵심 악성 코드는 패키지 안에 아예 담지 않은 채 설치·실행 시점에 외부에서 몰래 내려받아 실행하도록 하는 다단계 방식도 썼습니다.
이 때문에 패키지 자체만 검사해서는 악성 코드 여부를 가려내기 어렵게 했습니다.
이번 공격은 일반 인터넷 사용자가 아니라, 기업 시스템을 구축하는 개발자 컴퓨터를 징검다리로 삼아 기업 전체를 해킹하려는 'SW 공급망 공격' 수법입니다.
해커들은 이를 통해 컴퓨터 화면을 감시하거나 컴퓨터 통제권을 탈취하고, 가상화폐 지갑과 로그인 정보 등을 탈취하려 한 것으로 추정됩니다.
제이프로그 보안연구소는 이번 공격에 사용된 다단계 구조와 위장 수법, 정보 탈취·원격제어 방식 등이 과거 미국 정부가 북한 연계 해킹 조직으로 규정한 '라자루스' 활동 양상과 일치한다고 설명했습니다.
라자루스는 김수키·안다리엘과 더불어 북한 정찰총국 소속으로 알려진 3대 해킹 조직으로 지난해 한국의 가상자산 거래소 업비트를 해킹한 집단으로 지목됐습니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
저작권 보호를 위해 본문의 일부만 표시됩니다.
원문 보기 →댓글 (0)
첫 번째 댓글을 작성해보세요!
식이의 다른 소식
모든 소식을 불러왔습니다
