GN⁺: Github 스캠 조사: 데이터를 훔치는 수천 개의 'Mod'와 '크랙'

• GitHub에 "mods"나 "cracks" 형태로 위장된 수많은 리포지토리가 존재하며, 사용자가 다운로드하면 컴퓨터 내 민감 정보를 탈취하는 사기(Scam)임
• Roblox, Fortnite, FL Studio, Adobe Photoshop 등 인기 프로그램과 게임 이름을 이용해 "무료 다운로드"나 "크랙 버전"처럼 홍보하고 있음
• 이 악성 파일을 실행하면 Redox Stealer 같은 정보를 수집하는 멀웨어가 작동함
• 탈취된 정보는 Discord 서버나 Anonfiles 등의 공유 사이트로 전송되어, 암호화폐 지갑이나 소셜 미디어 계정 등을 훔쳐가는 구조임
• GitHub 검색으로도 이런 리포지토리를 쉽게 발견할 수 있으며, 실제 규모는 최소 천 개 이상으로 추정됨
• GitHub에 공개 이슈로 "바이러스"나 "맬웨어"라 경고하는 경우도 있으나, 전체의 10% 정도밖에 되지 않아 많은 사용자가 위험에 노출되는 상황임

TL;DR

• 발견 과정
  • 소셜 엔지니어링 관련 포럼에서 GitHub에 악성 리포지토리를 대량으로 퍼뜨리는 구체적 가이드를 발견함
  • 가이드를 토대로 공격자들이 직접 만든 리포지토리까지 추적해봄
• 규모
  • 1,115개 이상의 리포지토리를 찾았으며, 그중 구조가 의심스럽고 악성일 가능성이 큰 것만도 351개 이상임
  • 10% 미만의 리포지토리만이 ‘이슈(issue)’를 통해 경고받고 있으며 대부분은 멀쩡해 보이는 상태임
• 악성코드 특징
  • Redox Stealer 계열로 보이며, 디스코드 웹훅을 통해 피해자 컴퓨터의 쿠키, 비밀번호, 암호화폐 지갑, 게임 계정 등 각종 민감 정보를 탈취함
  • 공유 사이트(예: Anonfiles)를 통해 압축 파일 형태로 전송된 뒤, 웹훅으로 후속 링크를 보내 분석하고 거래하는 식임

Some background

• 텔레그램 봇 홍보
  • 작성자는 예전에 이용하던 TikTok 분석 봇 메시지에서 포럼 관련 홍보를 발견함
  • 해당 포럼은 별도의 초대나 Tor 접속 없이 이메일·비밀번호만으로 회원가입 후 불법적인 거래/가이드 열람이 가능함
• 포럼 특징
  • 계정 거래(예: TikTok, Instagram, Facebook Ads 등)부터 사기용 "affiliate" 프로그램 관련 자료까지 자유롭게 공유하는 구조임
  • ransomware as a service(RaaS), CryptoGrab 등 이미 유명한 스캠도 많으나, GitHub를 통한 멀웨어 유포 가이드는 새롭고 충격적임
• Redox Stealer
  • 텔레그램 등에서 유통되는 악성코드로, 상대적으로 간단한 파이썬 스크립트임
  • PC에서 찾을 수 있는 모든 민감 정보를 무더기로 수집해 Discord 서버로 전송하는 구조임

Github에 [트래픽을] 쏟아붓는 방법 A부터 Z까지

• GitHub 계정 대량 확보
  • 1.5달러 정도로 계정을 구매하거나 직접 여러 개를 생성해 공격에 활용함
• 악성 파일 업로드 방식
  • .zip, .rar 등으로 묶어 GitHub에 올리거나, README에 외부 공유 링크를 걸어 바이러스 검사를 회피함
• README 템플릿
  • 실제 스크린샷, 영상, virustotal 검사 결과(위조) 등을 첨부해 믿음을 주도록 구성함
  • ChatGPT 등을 이용해 README 텍스트를 조금씩 바꿔 중복 검출을 피함
• Topics 태그 활용
  • GitHub topic 기능을 이용해 게임 이름, crack, hack, cheat 등 키워드를 반복적으로 등록함
  • 검색 엔진에서 "무료 크랙" 등을 찾는 사람들에게 노출되기 쉽게 만듦
  • Banned topic인지 여부를 확인해 피하는 방식을 안내함

Redox Stealer 분석

• 파일 실행 과정
  • 사용자가 리포지토리를 다운받고 악성 스크립트를 실행하면, PC 내부 정보 수집이 시작됨
  • ip, geolocation, 사용자 이름, 브라우저 쿠키, 비밀번호, Discord, Telegram, Steam, Riot Games 계정, 암호화폐 지갑 파일 등 다량 탈취 대상임
• 수집 방식
  • 멀웨어가 sqlite DB 파일을 임시로 복사해 브라우저 쿠키, 비밀번호, Discord 토큰 등을 추출함
  • Metamask, Exodus 등 암호화폐 확장 프로그램 파일과 Steam, Riot Games 등 게임 계정 정보 파일을 별도로 압축해 업로드함
• 데이터 전송
  • 탈취된 파일은 Anonfiles 같은 공유 서비스에 업로드되고, 그 링크나 정보는 Discord 웹훅을 통해 공격자에게 전달됨
  • 최종 목표는 판매 가치가 있는 계정(예: 암호화폐, 게임 아이템)이나 금융 정보(신용카드, PayPal 등)를 가져가는 것임

GitHub에서의 검색과 발견

• 규모 추정
  • 한 사람만 300-500개 리포지토리를 올려도 하루 50-100건 이상의 피해 로그를 생성할 수 있다고 안내함
  • 실제로는 여러 사람이 이런 스키마를 동시에 진행 중일 가능성이 높아, 훨씬 더 많은 악성 리포지토리가 존재함
• PoC(Proof of Concept) 스크립트
  • 작성자는 가이드에서 제시한 키워드(예: "fortnite hack", "roblox cheat" 등)를 조합해 GitHub 검색 API를 이용해 자동으로 리포지토리를 크롤링함
  • 약 2,100개 정도의 토픽 키워드로 확인했을 때, 1,155개 리포지토리가 확인됨
  • 그중 351개가 README와 .rar/.zip 파일 구조 등으로 볼 때 악성 가능성이 높다고 판단함
• 문제점
  • 10% 미만 리포지토리에만 “이것은 악성”이라는 이슈가 남아있어 사용자 경고 기능이 부족함
  • 많은 사용자들이 정상 프로그램으로 착각해 실행할 위험이 큼

Conclusion

• 온라인상의 불법 정보
  • Tor나 별도 초대 없이도 일반 웹에서 쉽게 접근 가능한 포럼이 존재함
  • Ransomware, crypto drainer 등 다양한 스캠이 활발히 공유되고 있음
• Redox Stealer의 단순성
  • 수백~수천 줄의 파이썬 코드만으로 광범위한 정보를 자동 수집해 공격자에게 전송함
  • 기술적으로 난도가 높지 않아 쉽게 대량 유포되는 문제임
• GitHub 측의 대처 필요성
  • 이슈로 악성 여부가 공개된 리포지토리조차도 그대로 방치된 경우가 많음
  • GitHub에서 적극적인 모니터링과 차단을 시행해야 피해가 줄어들 것으로 보임
• 마무리
  • 게임, 프로그램 크랙 등을 다운받으려 할 때는 오픈소스, 바이러스 검사 여부를 꼼꼼히 확인해야 하는 상황임
  • 작성자는 추가적인 스캠/사기 광고 관련 후속 분석을 예고함

요약

• GitHub를 이용한 악성코드 유포중 : 대부분 "무료", "크랙", "mod"라는 명칭을 쓰며, 실제로는 Redox Stealer를 포함함
  • Redox Stealer는 쉽고 간단해 누구나 대량으로 배포하기 쉬움움
• 주요 피해 대상 : 암호화폐 지갑, Steam/Riot Games 계정, PayPal, Facebook, Twitter 등 폭넓은 계정 정보임
• 예방 수단
  • 공신력 있는 출처에서만 다운로드하기
  • 수상한 링크나 README를 면밀히 확인하기
  • GitHub Issues나 별점, 다른 사용자 리뷰 여부를 확인하기
  • 백신 및 최신 보안 패치 유지하기
• 포럼 기반 스캐밍 확산
  • 낮은 진입장벽으로 누구나 가이드 입수 후 악성 스크립트 유포가 가능함
  • 하나의 공격자가 여러 계정을 사들여 수백 개 리포지토리를 올리는 식으로 확산됨
• GitHub와 보안 커뮤니티의 책임
  • 악성 리포지토리 식별·차단 시스템 강화 필요성
  • 일반 사용자의 경각심 제고가 필수임

• "Crack"이나 "mod"를 무료로 제공한다는 GitHub 리포지토리는 항상 의심해야 하는 상황
• 스프레드시트(링크 참조)에는 작성자가 수집한 1,000개 이상의 의심 리포지토리 목록이 존재함
• 모든 악성코드는 단일 목적(재정적 이득)으로 연결되며, 빠르고 규모 있는 유포가 특징임