Github 스캠 조사: 데이터를 훔치는 수천 개의 'Mod'와 '크랙'

 (timsh.org)
1P by GN⁺ 2달전 | ★ favorite | 댓글 1개
  • GitHub에 "mods"나 "cracks" 형태로 위장된 수많은 리포지토리가 존재하며, 사용자가 다운로드하면 컴퓨터 내 민감 정보를 탈취하는 사기(Scam)임
  • Roblox, Fortnite, FL Studio, Adobe Photoshop 등 인기 프로그램과 게임 이름을 이용해 "무료 다운로드"나 "크랙 버전"처럼 홍보하고 있음
  • 이 악성 파일을 실행하면 Redox Stealer 같은 정보를 수집하는 멀웨어가 작동함
  • 탈취된 정보는 Discord 서버나 Anonfiles 등의 공유 사이트로 전송되어, 암호화폐 지갑이나 소셜 미디어 계정 등을 훔쳐가는 구조임
  • GitHub 검색으로도 이런 리포지토리를 쉽게 발견할 수 있으며, 실제 규모는 최소 천 개 이상으로 추정됨
  • GitHub에 공개 이슈로 "바이러스"나 "맬웨어"라 경고하는 경우도 있으나, 전체의 10% 정도밖에 되지 않아 많은 사용자가 위험에 노출되는 상황임

TL;DR

  • 발견 과정
    • 소셜 엔지니어링 관련 포럼에서 GitHub에 악성 리포지토리를 대량으로 퍼뜨리는 구체적 가이드를 발견함
    • 가이드를 토대로 공격자들이 직접 만든 리포지토리까지 추적해봄
  • 규모
    • 1,115개 이상의 리포지토리를 찾았으며, 그중 구조가 의심스럽고 악성일 가능성이 큰 것만도 351개 이상임
    • 10% 미만의 리포지토리만이 ‘이슈(issue)’를 통해 경고받고 있으며 대부분은 멀쩡해 보이는 상태임
  • 악성코드 특징
    • Redox Stealer 계열로 보이며, 디스코드 웹훅을 통해 피해자 컴퓨터의 쿠키, 비밀번호, 암호화폐 지갑, 게임 계정 등 각종 민감 정보를 탈취함
    • 공유 사이트(예: Anonfiles)를 통해 압축 파일 형태로 전송된 뒤, 웹훅으로 후속 링크를 보내 분석하고 거래하는 식임

Some background

  • 텔레그램 봇 홍보
    • 작성자는 예전에 이용하던 TikTok 분석 봇 메시지에서 포럼 관련 홍보를 발견함
    • 해당 포럼은 별도의 초대나 Tor 접속 없이 이메일·비밀번호만으로 회원가입 후 불법적인 거래/가이드 열람이 가능함
  • 포럼 특징
    • 계정 거래(예: TikTok, Instagram, Facebook Ads 등)부터 사기용 "affiliate" 프로그램 관련 자료까지 자유롭게 공유하는 구조임
    • ransomware as a service(RaaS), CryptoGrab 등 이미 유명한 스캠도 많으나, GitHub를 통한 멀웨어 유포 가이드는 새롭고 충격적임
  • Redox Stealer
    • 텔레그램 등에서 유통되는 악성코드로, 상대적으로 간단한 파이썬 스크립트임
    • PC에서 찾을 수 있는 모든 민감 정보를 무더기로 수집해 Discord 서버로 전송하는 구조임

Github에 [트래픽을] 쏟아붓는 방법 A부터 Z까지

  • GitHub 계정 대량 확보
    • 1.5달러 정도로 계정을 구매하거나 직접 여러 개를 생성해 공격에 활용함
  • 악성 파일 업로드 방식
    • .zip, .rar 등으로 묶어 GitHub에 올리거나, README에 외부 공유 링크를 걸어 바이러스 검사를 회피함
  • README 템플릿
    • 실제 스크린샷, 영상, virustotal 검사 결과(위조) 등을 첨부해 믿음을 주도록 구성함
    • ChatGPT 등을 이용해 README 텍스트를 조금씩 바꿔 중복 검출을 피함
  • Topics 태그 활용
    • GitHub topic 기능을 이용해 게임 이름, crack, hack, cheat 등 키워드를 반복적으로 등록함
    • 검색 엔진에서 "무료 크랙" 등을 찾는 사람들에게 노출되기 쉽게 만듦
    • Banned topic인지 여부를 확인해 피하는 방식을 안내함

Redox Stealer 분석

  • 파일 실행 과정
    • 사용자가 리포지토리를 다운받고 악성 스크립트를 실행하면, PC 내부 정보 수집이 시작됨
    • ip, geolocation, 사용자 이름, 브라우저 쿠키, 비밀번호, Discord, Telegram, Steam, Riot Games 계정, 암호화폐 지갑 파일 등 다량 탈취 대상임
  • 수집 방식
    • 멀웨어가 sqlite DB 파일을 임시로 복사해 브라우저 쿠키, 비밀번호, Discord 토큰 등을 추출함
    • Metamask, Exodus 등 암호화폐 확장 프로그램 파일과 Steam, Riot Games 등 게임 계정 정보 파일을 별도로 압축해 업로드함
  • 데이터 전송
    • 탈취된 파일은 Anonfiles 같은 공유 서비스에 업로드되고, 그 링크나 정보는 Discord 웹훅을 통해 공격자에게 전달됨
    • 최종 목표는 판매 가치가 있는 계정(예: 암호화폐, 게임 아이템)이나 금융 정보(신용카드, PayPal 등)를 가져가는 것임

GitHub에서의 검색과 발견

  • 규모 추정
    • 한 사람만 300-500개 리포지토리를 올려도 하루 50-100건 이상의 피해 로그를 생성할 수 있다고 안내함
    • 실제로는 여러 사람이 이런 스키마를 동시에 진행 중일 가능성이 높아, 훨씬 더 많은 악성 리포지토리가 존재함
  • PoC(Proof of Concept) 스크립트
    • 작성자는 가이드에서 제시한 키워드(예: "fortnite hack", "roblox cheat" 등)를 조합해 GitHub 검색 API를 이용해 자동으로 리포지토리를 크롤링함
    • 약 2,100개 정도의 토픽 키워드로 확인했을 때, 1,155개 리포지토리가 확인됨
    • 그중 351개가 README와 .rar/.zip 파일 구조 등으로 볼 때 악성 가능성이 높다고 판단함
  • 문제점
    • 10% 미만 리포지토리에만 “이것은 악성”이라는 이슈가 남아있어 사용자 경고 기능이 부족함
    • 많은 사용자들이 정상 프로그램으로 착각해 실행할 위험이 큼

Conclusion

  • 온라인상의 불법 정보
    • Tor나 별도 초대 없이도 일반 웹에서 쉽게 접근 가능한 포럼이 존재함
    • Ransomware, crypto drainer 등 다양한 스캠이 활발히 공유되고 있음
  • Redox Stealer의 단순성
    • 수백~수천 줄의 파이썬 코드만으로 광범위한 정보를 자동 수집해 공격자에게 전송함
    • 기술적으로 난도가 높지 않아 쉽게 대량 유포되는 문제임
  • GitHub 측의 대처 필요성
    • 이슈로 악성 여부가 공개된 리포지토리조차도 그대로 방치된 경우가 많음
    • GitHub에서 적극적인 모니터링과 차단을 시행해야 피해가 줄어들 것으로 보임
  • 마무리
    • 게임, 프로그램 크랙 등을 다운받으려 할 때는 오픈소스, 바이러스 검사 여부를 꼼꼼히 확인해야 하는 상황임
    • 작성자는 추가적인 스캠/사기 광고 관련 후속 분석을 예고함

요약

  • GitHub를 이용한 악성코드 유포중 : 대부분 "무료", "크랙", "mod"라는 명칭을 쓰며, 실제로는 Redox Stealer를 포함함
    • Redox Stealer는 쉽고 간단해 누구나 대량으로 배포하기 쉬움움
  • 주요 피해 대상 : 암호화폐 지갑, Steam/Riot Games 계정, PayPal, Facebook, Twitter 등 폭넓은 계정 정보임
  • 예방 수단
    • 공신력 있는 출처에서만 다운로드하기
    • 수상한 링크나 README를 면밀히 확인하기
    • GitHub Issues나 별점, 다른 사용자 리뷰 여부를 확인하기
    • 백신 및 최신 보안 패치 유지하기
  • 포럼 기반 스캐밍 확산
    • 낮은 진입장벽으로 누구나 가이드 입수 후 악성 스크립트 유포가 가능함
    • 하나의 공격자가 여러 계정을 사들여 수백 개 리포지토리를 올리는 식으로 확산됨
  • GitHub와 보안 커뮤니티의 책임
    • 악성 리포지토리 식별·차단 시스템 강화 필요성
    • 일반 사용자의 경각심 제고가 필수임
  • "Crack"이나 "mod"를 무료로 제공한다는 GitHub 리포지토리는 항상 의심해야 하는 상황
  • 스프레드시트(링크 참조)에는 작성자가 수집한 1,000개 이상의 의심 리포지토리 목록이 존재함
  • 모든 악성코드는 단일 목적(재정적 이득)으로 연결되며, 빠르고 규모 있는 유포가 특징임
GN⁺ 2달전  [-]
Hacker News 의견

  • Microsoft는 그들의 생태계에서 불필요한 것들을 제거하는 데 일반적인 문제가 있음

    • feedback.azure.com 포털에 스팸 및 악성코드 댓글과 링크가 가득 차 있음
    • 내부 팀조차 이를 해결할 사람을 찾지 못함

  • Discord 웹훅을 통해 새로 손상된 시스템을 알림

    • Discord는 학대 신고에 대해 반응이 빠름
    • 간단한 스크립트를 작성하여 웹훅 링크를 추출하면 계정을 차단할 수 있을 것임
    • 과거 경험에서 Discord는 불법 목적으로 참여한 사람들의 계정을 차단하는 데 적극적이었음

  • Microsoft가 어느 정도 책임이 있음

    • Windows Defender가 실제 악성코드가 없어도 "Win32/Keygen" 경고를 발생시킴
    • 이는 사용자들이 안티바이러스를 끄도록 훈련시킴
    • 잘못된 긍정이 실제 긍정을 무시하게 만들어 시장을 형성함

  • 악성코드 저장소를 삭제해야 하는 이유에 대한 질문

    • 저장소 자체는 해를 끼치지 않으며 연구에 가치가 있음
    • GitHub가 제거해도 다른 방법으로 배포될 것임
    • "주의! 이 저장소가 주장하는 것을 하지 않을 수 있음"이라는 배너가 더 적절할 수 있음

  • 재미있는 사실: Discord 웹훅을 발견하면 삭제할 수 있음

    • curl -X DELETE 명령어 사용

  • Microsoft의 지원은 비극적으로 형편없음

    • GitHub에 수년간 응답 없는 열린 이슈가 넘쳐남
    • Azure의 기술 지원도 매우 나쁨
    • 계정 접근을 잃고 복구할 수 없는 공포 이야기가 온라인에 많음

  • 문제의 핵심은 애플리케이션이 OS 수준에서 격리되지 않음

    • Minecraft 모드를 설치해도 컴퓨터의 다른 파일에 접근할 수 없어야 함
    • Excel에서 스프레드시트를 열면 해당 파일과 설정 파일에만 접근 가능해야 함
    • Android처럼 앱이 파일 접근을 명시적으로 요청해야 함

  • GitHub의 악용 신고 시스템의 효과에 대한 큰 질문

    • 1,000개 이상의 악성 저장소가 몇 달 동안 지속될 수 있다면 자동 스캔이 부족하거나 사용자 신고에 너무 의존하는 것일 수 있음

  • Plants vs. Zombies 모드를 설치하는 데 도움 요청받음

    • GitHub 저장소에서 다운로드 가능한 여러 모드를 발견했으나 신뢰할 수 없어 다운로드하지 않음
    • 지금 생각해보면 저자가 설명한 악성코드 종류였던 것 같음

  • GitHub 저장소에서 악성코드를 발견하면 Abuse Report 페이지를 통해 직접 신고 가능

    • GitHub는 Acceptable Use Policy를 위반하는 저장소를 제거함
    • 응답 시간은 다를 수 있음
    • 악성코드가 적극적으로 사용되고 있다면 보안 조직이나 CERT 팀에 신고 고려 가능
답변달기