# Github 스캠 조사: 데이터를 훔치는 수천 개의 'Mod'와 '크랙'

> Clean Markdown view of GeekNews topic #19500. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=19500](https://news.hada.io/topic?id=19500)
- GeekNews Markdown: [https://news.hada.io/topic/19500.md](https://news.hada.io/topic/19500.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-03-01T08:36:02+09:00
- Updated: 2025-03-01T08:36:02+09:00
- Original source: [timsh.org](https://timsh.org/github-scam-investigation-thousands-of-mods-and-cracks-stealing-your-data/)
- Points: 1
- Comments: 1

## Topic Body

- GitHub에 "mods"나 "cracks" 형태로 위장된 수많은 리포지토리가 존재하며, 사용자가 다운로드하면 컴퓨터 내 민감 정보를 탈취하는 사기(Scam)임  
- Roblox, Fortnite, FL Studio, Adobe Photoshop 등 인기 프로그램과 게임 이름을 이용해 "무료 다운로드"나 "크랙 버전"처럼 홍보하고 있음  
- 이 악성 파일을 실행하면 Redox Stealer 같은 정보를 수집하는 멀웨어가 작동함  
- 탈취된 정보는 Discord 서버나 Anonfiles 등의 공유 사이트로 전송되어, 암호화폐 지갑이나 소셜 미디어 계정 등을 훔쳐가는 구조임  
- GitHub 검색으로도 이런 리포지토리를 쉽게 발견할 수 있으며, 실제 규모는 최소 천 개 이상으로 추정됨  
- GitHub에 공개 이슈로 "바이러스"나 "맬웨어"라 경고하는 경우도 있으나, 전체의 10% 정도밖에 되지 않아 많은 사용자가 위험에 노출되는 상황임  
  
### TL;DR  
- **발견 과정**  
  - 소셜 엔지니어링 관련 포럼에서 GitHub에 악성 리포지토리를 대량으로 퍼뜨리는 구체적 가이드를 발견함  
  - 가이드를 토대로 공격자들이 직접 만든 리포지토리까지 추적해봄  
- **규모**  
  - 1,115개 이상의 리포지토리를 찾았으며, 그중 구조가 의심스럽고 악성일 가능성이 큰 것만도 351개 이상임  
  - 10% 미만의 리포지토리만이 ‘이슈(issue)’를 통해 경고받고 있으며 대부분은 멀쩡해 보이는 상태임  
- **악성코드 특징**  
  - Redox Stealer 계열로 보이며, 디스코드 웹훅을 통해 피해자 컴퓨터의 쿠키, 비밀번호, 암호화폐 지갑, 게임 계정 등 각종 민감 정보를 탈취함  
  - 공유 사이트(예: Anonfiles)를 통해 압축 파일 형태로 전송된 뒤, 웹훅으로 후속 링크를 보내 분석하고 거래하는 식임  
  
### Some background  
- **텔레그램 봇 홍보**  
  - 작성자는 예전에 이용하던 TikTok 분석 봇 메시지에서 포럼 관련 홍보를 발견함  
  - 해당 포럼은 별도의 초대나 Tor 접속 없이 이메일·비밀번호만으로 회원가입 후 불법적인 거래/가이드 열람이 가능함  
- **포럼 특징**  
  - 계정 거래(예: TikTok, Instagram, Facebook Ads 등)부터 사기용 "affiliate" 프로그램 관련 자료까지 자유롭게 공유하는 구조임  
  - ransomware as a service(RaaS), CryptoGrab 등 이미 유명한 스캠도 많으나, GitHub를 통한 멀웨어 유포 가이드는 새롭고 충격적임  
- **Redox Stealer**  
  - 텔레그램 등에서 유통되는 악성코드로, 상대적으로 간단한 파이썬 스크립트임  
  - PC에서 찾을 수 있는 모든 민감 정보를 무더기로 수집해 Discord 서버로 전송하는 구조임  
  
### Github에 [트래픽을] 쏟아붓는 방법 A부터 Z까지  
- **GitHub 계정 대량 확보**  
  - 1.5달러 정도로 계정을 구매하거나 직접 여러 개를 생성해 공격에 활용함  
- **악성 파일 업로드 방식**  
  - .zip, .rar 등으로 묶어 GitHub에 올리거나, README에 외부 공유 링크를 걸어 바이러스 검사를 회피함  
- **README 템플릿**  
  - 실제 스크린샷, 영상, virustotal 검사 결과(위조) 등을 첨부해 믿음을 주도록 구성함  
  - ChatGPT 등을 이용해 README 텍스트를 조금씩 바꿔 중복 검출을 피함  
- **Topics 태그 활용**  
  - GitHub `topic` 기능을 이용해 게임 이름, crack, hack, cheat 등 키워드를 반복적으로 등록함  
  - 검색 엔진에서 "무료 크랙" 등을 찾는 사람들에게 노출되기 쉽게 만듦  
  - Banned topic인지 여부를 확인해 피하는 방식을 안내함  
  
### Redox Stealer 분석  
- **파일 실행 과정**  
  - 사용자가 리포지토리를 다운받고 악성 스크립트를 실행하면, PC 내부 정보 수집이 시작됨  
  - ip, geolocation, 사용자 이름, 브라우저 쿠키, 비밀번호, Discord, Telegram, Steam, Riot Games 계정, 암호화폐 지갑 파일 등 다량 탈취 대상임  
- **수집 방식**  
  - 멀웨어가 sqlite DB 파일을 임시로 복사해 브라우저 쿠키, 비밀번호, Discord 토큰 등을 추출함  
  - Metamask, Exodus 등 암호화폐 확장 프로그램 파일과 Steam, Riot Games 등 게임 계정 정보 파일을 별도로 압축해 업로드함  
- **데이터 전송**  
  - 탈취된 파일은 Anonfiles 같은 공유 서비스에 업로드되고, 그 링크나 정보는 Discord 웹훅을 통해 공격자에게 전달됨  
  - 최종 목표는 판매 가치가 있는 계정(예: 암호화폐, 게임 아이템)이나 금융 정보(신용카드, PayPal 등)를 가져가는 것임  
  
### GitHub에서의 검색과 발견  
- **규모 추정**  
  - 한 사람만 300-500개 리포지토리를 올려도 하루 50-100건 이상의 피해 로그를 생성할 수 있다고 안내함  
  - 실제로는 여러 사람이 이런 스키마를 동시에 진행 중일 가능성이 높아, 훨씬 더 많은 악성 리포지토리가 존재함  
- **PoC(Proof of Concept) 스크립트**  
  - 작성자는 가이드에서 제시한 키워드(예: "fortnite hack", "roblox cheat" 등)를 조합해 GitHub 검색 API를 이용해 자동으로 리포지토리를 크롤링함  
  - 약 2,100개 정도의 토픽 키워드로 확인했을 때, 1,155개 리포지토리가 확인됨  
  - 그중 351개가 README와 .rar/.zip 파일 구조 등으로 볼 때 악성 가능성이 높다고 판단함  
- **문제점**  
  - 10% 미만 리포지토리에만 “이것은 악성”이라는 이슈가 남아있어 사용자 경고 기능이 부족함  
  - 많은 사용자들이 정상 프로그램으로 착각해 실행할 위험이 큼  
  
### Conclusion  
- **온라인상의 불법 정보**  
  - Tor나 별도 초대 없이도 일반 웹에서 쉽게 접근 가능한 포럼이 존재함  
  - Ransomware, crypto drainer 등 다양한 스캠이 활발히 공유되고 있음  
- **Redox Stealer의 단순성**  
  - 수백~수천 줄의 파이썬 코드만으로 광범위한 정보를 자동 수집해 공격자에게 전송함  
  - 기술적으로 난도가 높지 않아 쉽게 대량 유포되는 문제임  
- **GitHub 측의 대처 필요성**  
  - 이슈로 악성 여부가 공개된 리포지토리조차도 그대로 방치된 경우가 많음  
  - GitHub에서 적극적인 모니터링과 차단을 시행해야 피해가 줄어들 것으로 보임  
- **마무리**  
  - 게임, 프로그램 크랙 등을 다운받으려 할 때는 오픈소스, 바이러스 검사 여부를 꼼꼼히 확인해야 하는 상황임  
  - 작성자는 추가적인 스캠/사기 광고 관련 후속 분석을 예고함  
  
### 요약  
- **GitHub를 이용한 악성코드 유포중** : 대부분 "무료", "크랙", "mod"라는 명칭을 쓰며, 실제로는 Redox Stealer를 포함함  
  - Redox Stealer는 쉽고 간단해 누구나 대량으로 배포하기 쉬움움  
- **주요 피해 대상** : 암호화폐 지갑, Steam/Riot Games 계정, PayPal, Facebook, Twitter 등 폭넓은 계정 정보임  
- **예방 수단**  
  - 공신력 있는 출처에서만 다운로드하기  
  - 수상한 링크나 README를 면밀히 확인하기  
  - GitHub Issues나 별점, 다른 사용자 리뷰 여부를 확인하기  
  - 백신 및 최신 보안 패치 유지하기  
- **포럼 기반 스캐밍 확산**  
  - 낮은 진입장벽으로 누구나 가이드 입수 후 악성 스크립트 유포가 가능함  
  - 하나의 공격자가 여러 계정을 사들여 수백 개 리포지토리를 올리는 식으로 확산됨  
- **GitHub와 보안 커뮤니티의 책임**  
  - 악성 리포지토리 식별·차단 시스템 강화 필요성  
  - 일반 사용자의 경각심 제고가 필수임  
> - "Crack"이나 "mod"를 무료로 제공한다는 GitHub 리포지토리는 항상 의심해야 하는 상황  
> - [스프레드시트(링크 참조)](https://docs.google.com/spreadsheets/d/e/2PACX-1vTyQYoWah23kS0xvYR-Vtnrdxgihf9Ig4ZFY1MCyOWgh_UlPGsoKZQgbpUMTNChp9UQ3XIMehFd_c0u/pubhtml?ref=timsh.org#)에는 작성자가 수집한 1,000개 이상의 의심 리포지토리 목록이 존재함  
> - 모든 악성코드는 단일 목적(재정적 이득)으로 연결되며, 빠르고 규모 있는 유포가 특징임

## Comments



### Comment 35279

- Author: neo
- Created: 2025-03-01T08:36:02+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=43203158) 
- Microsoft는 그들의 생태계에서 불필요한 것들을 제거하는 데 일반적인 문제가 있음
  - feedback.azure.com 포털에 스팸 및 악성코드 댓글과 링크가 가득 차 있음
  - 내부 팀조차 이를 해결할 사람을 찾지 못함

- Discord 웹훅을 통해 새로 손상된 시스템을 알림
  - Discord는 학대 신고에 대해 반응이 빠름
  - 간단한 스크립트를 작성하여 웹훅 링크를 추출하면 계정을 차단할 수 있을 것임
  - 과거 경험에서 Discord는 불법 목적으로 참여한 사람들의 계정을 차단하는 데 적극적이었음

- Microsoft가 어느 정도 책임이 있음
  - Windows Defender가 실제 악성코드가 없어도 "Win32/Keygen" 경고를 발생시킴
  - 이는 사용자들이 안티바이러스를 끄도록 훈련시킴
  - 잘못된 긍정이 실제 긍정을 무시하게 만들어 시장을 형성함

- 악성코드 저장소를 삭제해야 하는 이유에 대한 질문
  - 저장소 자체는 해를 끼치지 않으며 연구에 가치가 있음
  - GitHub가 제거해도 다른 방법으로 배포될 것임
  - "주의! 이 저장소가 주장하는 것을 하지 않을 수 있음"이라는 배너가 더 적절할 수 있음

- 재미있는 사실: Discord 웹훅을 발견하면 삭제할 수 있음
  - curl -X DELETE 명령어 사용

- Microsoft의 지원은 비극적으로 형편없음
  - GitHub에 수년간 응답 없는 열린 이슈가 넘쳐남
  - Azure의 기술 지원도 매우 나쁨
  - 계정 접근을 잃고 복구할 수 없는 공포 이야기가 온라인에 많음

- 문제의 핵심은 애플리케이션이 OS 수준에서 격리되지 않음
  - Minecraft 모드를 설치해도 컴퓨터의 다른 파일에 접근할 수 없어야 함
  - Excel에서 스프레드시트를 열면 해당 파일과 설정 파일에만 접근 가능해야 함
  - Android처럼 앱이 파일 접근을 명시적으로 요청해야 함

- GitHub의 악용 신고 시스템의 효과에 대한 큰 질문
  - 1,000개 이상의 악성 저장소가 몇 달 동안 지속될 수 있다면 자동 스캔이 부족하거나 사용자 신고에 너무 의존하는 것일 수 있음

- Plants vs. Zombies 모드를 설치하는 데 도움 요청받음
  - GitHub 저장소에서 다운로드 가능한 여러 모드를 발견했으나 신뢰할 수 없어 다운로드하지 않음
  - 지금 생각해보면 저자가 설명한 악성코드 종류였던 것 같음

- GitHub 저장소에서 악성코드를 발견하면 Abuse Report 페이지를 통해 직접 신고 가능
  - GitHub는 Acceptable Use Policy를 위반하는 저장소를 제거함
  - 응답 시간은 다를 수 있음
  - 악성코드가 적극적으로 사용되고 있다면 보안 조직이나 CERT 팀에 신고 고려 가능