해커들, 깃허브 악용해 암호화폐 탈취…카스퍼스키 경고

사이버 보안 업체 카스퍼스키가 해커들이 깃허브(GitHub)를 악용한 가짜 프로젝트로 암호화폐를 탈취하고 있다고 경고했다.

최근 발표된 카스퍼스키 보고서에 따르면, 해커들은 ‘GitVenom’이라는 캠페인을 통해 수백 개의 악성 저장소를 깃허브에 개설하고 있다. 이들은 원격 액세스 트로이 목마(RAT), 정보 탈취 악성코드, 클립보드 하이재커 등을 포함한 프로젝트를 업로드해 이용자들이 악성 코드를 다운로드하도록 유도하고 있다.

보고서를 작성한 카스퍼스키 애널리스트 게오르기 쿠체린은 “일부 프로젝트는 비트코인(BTC) 지갑을 관리하는 텔레그램 봇, 인스타그램 계정을 자동화하는 도구 등으로 위장됐다”며 “이들은 정교한 설명서와 서류를 활용해 프로젝트가 진짜처럼 보이도록 속였다”고 설명했다.

특히 해커들은 프로젝트의 ‘커밋’(코드 변경 이력) 수를 인위적으로 늘리고, 일정 간격으로 타임스탬프 파일을 업데이트하는 방식으로 지속적인 개발이 이루어지는 것처럼 연출했다. 그러나 카스퍼스키 측은 “이 프로젝트들은 대부분 실행해도 의미 없는 행동만 할 뿐, 실제로는 악성 코드를 배포하는 역할을 한다”고 지적했다.

해킹의 주요 방식은 악성 페이로드를 숨겨둔 파일을 이용자가 실행하도록 유도하는 것이다. 이 페이로드는 저장된 계정 정보, 암호화폐 지갑 데이터, 브라우징 히스토리 등을 해커의 텔레그램 서버로 전송한다. 또한 사용자의 클립보드를 감시하며 암호화폐 지갑 주소를 찾아내고 이를 해커가 통제하는 주소로 교체하는 기능도 포함돼 있다.

카스퍼스키는 지난해 11월 한 피해자가 이러한 수법에 속아 5 BTC(약 6억 3,000만 원)를 잃었다고 밝혔다.

GitVenom 캠페인은 전 세계적으로 관찰되고 있지만, 특히 러시아, 브라질, 터키 이용자를 집중적으로 공격하고 있다고 카스퍼스키는 경고했다. 쿠체린은 “깃허브 같은 코드 공유 플랫폼은 수백만 명의 개발자가 사용하기 때문에 이러한 수법이 앞으로도 계속 활용될 가능성이 크다”며 “제3자 코드 다운로드 시 악성 코드가 포함되지 않았는지 반드시 확인해야 한다”고 조언했다.

향후 해커들은 기존 방식에서 세부적인 변형을 가하며 악성 프로젝트를 지속적으로 게시할 것으로 예상된다.