엔지니어링 리더십•2024년 12월 30일•한국어
-
링크드인에서 구직자에게 접근하여 과제라는 명목으로 Bitbucket에서 coinbase2024/voting-dapp 라는 저장소를 다운받게 함.
-
이 코드 중 하나의 테스트 파일에 악성코드가 숨겨져 있어 개발자가 테스트 케이스를 실행할 때 악성코드가 활성화 됨.
-
이때 활성화 되는 BeaverTail이라는 악성코드는 node.js 기반으로 NPM에서 다운로드 되는데, 크롬 같은 웹브라우저의 암호화폐 지갑 확장 프로그램들을 타겟하여 지갑 데이터를 수집하고 서버로 전송.
타겟하는 브라우저 확장 프로그램 ID 예:
- nkbihfbeogaeaoehlefnkodbefgpgknn → MetaMask
- fhbohimaelbohpjbbldcngcnapndodjp → BNB Chain Wallet
- ibnejdfjmmkpcnlpebklmnkoeoihofec → TronLink
-
이후 BeaverTail은 InvisibleFerret이라는 python 기반 악성코드를 다운로드 및 실행. Linux에서는 기본 설치된 python을 사용하고 Windows에서는 tar 파일로 python을 다운로드하여 사용.
-
InvisibleFerret은 Chrome, Brave, Yandex 등 주요 브라우저에 저장된 비밀번호, 신용카드 정보를 탈취하고 키로깅, 터미널 명령 실행, 클립보드 및 파일 업로드 등 원격제어를 가능하게 함.
-
주목해야 할 점은 이 일련의 과정이 단순하나 정교하게 설계되었다는 것.
- 링크드인에서 구직자의 간절한 마음을 대상으로 한 소셜 엔지니어링 기법으로 시작.
- NPM 모듈로 악성코드를 숨기고 웹브라우저의 암호화폐 지갑 확장 프로그램을 노리는데 이는 쉽게 설치되고 쉽게 노릴 수 있는 경로를 먼저 택한 것.
- 이후 python 기반 악성코드를 다운로드 받아 더 본격적으로 키로깅 및 원격제어까지 시도.
