새로운 피싱 캠페인에서 깃허브 개발자를 대상으로 한 가짜 ‘보안 경고’가 유포되고 있다. 이를 통해 사용자가 악성 오쓰(OAuth) 애플리케이션을 승인하도록 유도하는 방식이다.

이 ‘클릭픽스(Click-fix)’ 캠페인이 성공적으로 실행될 경우, 공격자는 피해 계정과 코드에 대한 완전한 제어 권한을 획득할 수 있는 것으로 나타났다. 클릭픽스 캠페인은 현재까지 1만 2,000개 이상의 깃허브 리포지토리를 대상으로 한 것으로 알려졌다.

사이버보안 연구원인 Luc4m은 최근 X 게시물을 통해 클릭픽스에 사용된 보안 경고를 처음으로 보고하며 해당 캠페인이 몇 분 만에 거의 “4,000회 시도를 했다”라고 밝혔다.

Luc4m에 따르면, 가짜 보안 경고에는 “보안 경고 : 비정상적인 액세스 시도(Security Alert: Unusual Access Attempt)”라는 메시지가 포함돼 있다. 해당 경고는 “새로운 위치 또는 기기에서 깃허브 계정에 로그인하려는 시도가 감지되었습니다”라는 내용을 담고 있다.

클릭픽스 캠페인, 비밀번호 및 2FA 업데이트 요청

이 가짜 보안 경고는 계정을 보호하기 위한 여러 단계를 제시하며 사용자를 속였다. 메시지에는 “이 활동이 본인의 것이라면 추가 조치가 필요하지 않습니다. 그러나 본인이 아닐 경우, 즉시 계정을 보호할 것을 강력히 권장합니다”라는 내용이 포함돼 있어, 사용자가 보안 조치를 취하도록 유도한다.

해당 경고에서는 사용자가 취해야 할 조치로 비밀번호 업데이트, 활성 세션 검토 및 관리, 2FA(2 factor authentication) 활성화를 권장한다.

하지만 이런 모든 옵션은 ‘gitsecurityapp’이라는 오쓰 애플리케이션의 깃허브 승인 페이지로 연결된다. 이 승인 페이지에는 공개 및 비공개 리포지토리 접근 및 삭제, 사용자 프로필 읽기 및 수정, 조직 멤버십 및 프로젝트 조회, 깃허브 지스트(Gist) 접근 등의 민감한 권한이 포함돼 있다.

사이버보안 전문 매체 블리핑컴퓨터(BleepingComputer)에 따르면, 이번 공격은 17일(현지시간) 아침까지 약 1만 2,000개에 달하는 깃허브 리포지토리를 대상으로 진행된 것으로 보인다.

Luc4m는 이번 공격이 국가가 후원하는 해킹 집단과 관련 있을 가능성을 시사하며 “DPRK(북한) 냄새가 난다”라고 언급했다. X 게시물에서 추가적인 설명은 없었지만 북한은 클릭픽스 공격을 사이버 첩보 활동에 활용하는 것으로 알려져 있다. 대표적인 사례가 컨태이저스 인터뷰(Contagious Interview) 캠페인이다.

깃허브의 가짜 보안 경고에는 모두 동일한 로그인 정보가 포함돼 있었다(위치 : 아이슬란드 레이캬비크, IP 주소 : 53.253.117.8, 기기 : 미확인). 또한 보안을 위해 Luc4m은 몇 가지 침해 지표를 공유하고(깃허브 계정 : hishamaboshami, 애플리케이션 ID : Ov23liQMsIZN6BD8RTZZ), 가짜 ‘보안 애플리케이션’이 렌더(Render)를 이용해 배포됐다고 덧붙였다. 렌더는 웹 애플리케이션을 호스팅하는 클라우드 플랫폼으로, 이번 캠페인에서 사용된 URL은 ‘s://github-com-auth-secure-access-token.onrender.com’이다.
dl-itworldkorea@foundryco.com