‘바나나 스쿼드(Banana Squad)’라는 이름의 사이버 위협 그룹이 2023년 4월부터 활동을 이어오며, 깃허브의 60개 이상 공개 저장소에 악성코드를 주입한 사실이 밝혀졌다. 이들은 파이썬으로 작성된 해킹 툴을 위장한 악성 저장소를 배포하며 오픈소스 프로젝트 생태계를 노리고 있다.

보안 기업 리버싱랩스(ReversingLabs)는 “공개 저장소는 유명한 해킹 도구를 모방해 신뢰할 수 있어 보이지만, 실제로는 백도어가 숨겨진 트로이 목마 형태였다”라고 설명했다. 리버싱랩스의 수석 악성코드 연구원 로버트 시몬스는 블로그를 통해 “겉보기에는 파이썬으로 작성된 정상적인 도구처럼 보이지만, 실제로는 동일한 이름의 기존 저장소를 모방한 악성 버전이었다”라고 분석했다.

이번 캠페인의 특징은 과거 npm이나 PyPI에서 자주 발생했던 노골적인 패키지 위·변조에서 벗어나, 깃허브와 같은 플랫폼을 정교하게 악용하고 있다는 점이다.

악성코드, 보안 툴 가장해 침투

리버싱랩스가 발견한 67개 악성 저장소는 대부분 자격 증명 탈취기, 취약점 스캐너, 정보보안 도구처럼 보이도록 위장돼 있었다. 그러나 눈에 띄지 않게 조작된 긴 문자열, 공백 간격, 화면에 보이지 않는 위치에 삽입된 난독화 로직이 포함돼 있었다.

시몬스는 “트로이 목마 코드가 담긴 라인에는 수많은 공백이 포함돼 있어, 4K 해상도의 대형 모니터에서도 전체 창을 열어도 악성코드가 화면에 보이지 않는다”라고 전했다. 대신 “리버싱랩스의 ‘스펙트라 애널라이즈(Spectra Analyze)’ 도구의 미리보기 기능을 활용하면 악성 콘텐츠를 명확히 파악할 수 있다”라고 덧붙였다.

이 그룹은 이전에도 윈도우 기반의 악성 패키지를 수백 개 배포한 전력이 있다. 과거 버전 관리 시스템, PyPI, npm 등 오픈소스 플랫폼에 다양한 이름으로 등록된 패키지를 통해 시스템 정보, 암호화폐 지갑 등 민감 정보를 탈취했으며, 관련 패키지는 2023년 4월 기준 7만 5,000회 이상 다운로드된 것으로 나타났다.

조직적인 위장 정황

리버싱랩스는 악성 저장소의 공통된 특징으로 소유자의 깃허브 계정에 오직 해당 저장소 하나만 존재한다는 점을 지적했다. 의도적으로 악성 저장소를 위해 만들어진 가짜 계정일 가능성을 시사한다는 설명이다.

또한, 이들 저장소는 정상 저장소와 이름이 동일하거나 철자가 거의 일치하는 ‘타이포 스쿼팅(typo-squatting)’ 기법이 사용됐으며, 설명란(About)은 원본 저장소와 관련된 검색 키워드와 이모지(????, ???? 등)로 채워져 있어 AI를 활용한 검색 최적화 가능성도 제기됐다.

리버싱랩스는 해당 캠페인과 관련된 도메인, URL, 파일명, 악성 저장소 목록을 공개하며 개발자의 주의를 당부했다.

시몬스는 “오픈소스 플랫폼에 의존하는 개발자라면, 사용하는 저장소가 실제로 원하는 소프트웨어를 포함하고 있는지 반드시 확인해야 한다”며 “가장 확실한 방법은 과거에 검증된 정상 버전과 비교해보는 것”이라고 조언했다.
dl-itworldkorea@foundryco.com