정용환 기자
오픈 소스 소프트웨어(OSS) 개발자인 이안 스펜스가 깃허브 알림 이메일을 악용하는 멀웨어 존재를 블로그에서 보고했다. 그는 깃허브에서 OSS 개발에 참여하고 있으며 자주 깃허브로부터 알림 이메일을 받는다고 한다. 어느 날 그는 이메일을 받았다. 이메일에는 저장소에서 보안 취약점이 발견됐다며 자세한 내용은 저희 사이트에 문의해 달라고 적혀 있었고 발신자는 깃허브 보안팀(Github Security Team)으로 되어 있다.
실제로는 이 이메일이 보안 팀으로부터 온 메시지가 아니라 단순히 깃허브에서 새로운 이슈가 생성됐을 때의 알림 이메일이었다. 이슈 내용은 사용자가 자유롭게 작성할 수 있는 곳이며 따라서 이메일 빨간 박스 부분은 공격자가 악의를 갖고 작성한 것이었다.
링크를 클릭해보니 CAPTCHA를 요구하는 화면이 나타났다. 일반적인 CAPTCHA는 특정 이미지를 클릭하는 게 대부분이지만 이 사이트에서는 윈도 파일명을 지정해 실행을 열고 명령어를 붙여 넣는 특이한 절차를 요구했다. 스펜스가 메모장에 명령어를 붙여 넣어 보니 powershell을 실행해 특정 사이트에서 명령어를 다운로드하고 실행하는 내용이었다. 붙여 넣을 때 실제 명령어 부분을 숨기기 위해 명령어 뒤에는 주석이 삽입되어 있었다.
물론 명령어를 실행하면 멀웨어가 설치된다. 멀웨어 실행 파일 서명은 스포티파이로 위장한 무효한 것이었지만 파워쉘을 통해 다운로드된 파일이기 때문에 윈도에서는 아무런 경고 없이 실행될 수 있었다고 한다.
이 멀웨어는 브라우저나 이메일 클라이언트, 파일 등에서 암호화폐 관련 데이터를 훔쳐내는 것이라고 한다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
