[보안뉴스 김형근 기자] 북한 해커 그룹이 주도하는 ‘컨테이저스 인터뷰’(Contagious Interview) 캠페인이 JSON 저장 서비스를 활용해 악성 페이로드를 은밀히 배포하고 있는 것으로 드러났다.

보안기업 엔비소(NVISO) 연구진에 따르면 JSON 키퍼, JSONsilo, npoint.io 등의 JSON 관련 서비스가 공격에 사용된다.


공격자는 링크드인 등 전문가 소셜 네트워크를 통해 개발자에 접근했다. 표적 인물에 가짜 직무 평가나 프로젝트 협업 명목으로 깃허브, 깃랩, 비트버켓의 데모 프로젝트를 다운로드하도록 유도한다.

엔비소가 분석한 사례엔 server/config/.config.env 파일에 베이스64로 인코딩 된 API 키로 위장한 URL이 포함돼 있다.

실제 URL은 JSON 저장소를 가리키며, 거기서 다음 단계 악성 페이로드가 난독화돼 제공된다. 페이로드는 자바스크립트 기반 비버테일로, 민감 정보 수집이 가능하다. 또 인비저블페렛 파이썬 백도어를 설치해 추가 공격과 원격 제어를 수행한다.

초기 기능은 2023년 팔로알토 네트웍스가 발견한 공격한 것과 유사하지만, 이번 캠페인은 쓰나미킷 페이로드를 추가로 가져오는 것이 특징이다.쓰나미킷은 시스템 지문 수집, 데이터 탈취, 추가 페이로드 획득 기능을 포함한다.

지난 9월 보안기업 이셋 보고서에 따르면 이 공격엔 트로피도어, 아크도어티(AkdoorTea) 도구도 활용된다.

추가 페이로드는 하드코딩된 .onion 주소에서 가져오도록 설계됐으나 현재는 오프라인 상태다.


엔비소 연구진은 공격자가 관심 있는 소프트웨어 개발자를 광범위하게 타깃으로 삼고 있다고 지적했다. 목표는 민감 데이터와 암호화폐 지갑 정보까지 탈취하는 것이다. 정상적 플랫폼과 코드 저장소를 이용함으로써 정상 트래픽에 섞여 은밀하게 작동하는 것이 특징이다.

공격 인프라는 JSON 저장소와 깃 리포지토리, 페이스트빈 등 여러 합법적 서비스를 포함한다. 이로 인해 탐지와 차단이 어렵고 공격 지속성이 높아진다.

북한 해커들은 기존 공격 수법을 발전시키며, 공격 대상과 방법을 지속적으로 확대하고 있다. 사회공학과 기술적 기법을 결합해 높은 성공률을 노리는 전략이다. 개발자들은 의심스러운 링크나 프로젝트 다운로드에 주의해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>