IT 관리자·개발자 대상 Github 유포 유틸리티 위장 악성코드 주의 권고

IT 관리자·개발자 대상 유틸리티 위장 악성코드 주의 권고

어떤 상황인가요?

최근 IT 관리자와 개발자들을 타깃으로 삼아, 업무에서 자주 쓰이는 유틸리티 도구로 위장한 악성코드가 GitHub를 통해 퍼지고 있습니다.

공격자들은 사용자가 정상적인 소프트웨어인 줄 알고 설치 파일을 실행하도록 정교하게 함정을 파놓은 상태입니다.

주요 유포 수법

공격자는 검색 엔진 최적화(SEO)를 악용하여 Google이나 Bing에서 특정 프로그램을 검색했을 때, 자신들이 만든 악성 GitHub 저장소가 상단에 나오도록 유도합니다.

• 위장 대상: Tftpd64, Postman, WinDbg, PsExec, USMT, IntuneWinAppUtil, BgInfo, RDCMan 등
• 유포 방식: 정상 소프트웨어로 오인하기 쉬운 MSI 설치 파일 형태

혹시 나도 감염되었을까? (감염 징후)

PC 환경에서 아래와 같은 징후가 발견된다면 즉시 점검이 필요합니다.

• 파일 시스템: %LOCALAPPDATA% 경로 아래에 랜덤한 6자리 이름의 디렉토리 및 node.exe 존재
• 레지스트리: 시작 프로그램 등록 경로에 node.exe를 이용해 .cfg나 .ini 파일을 실행하는 명령 등록
• 네트워크: 이더리움 RPC 엔드포인트로의 비정상적인 HTTPS 요청 발생

어떻게 대응해야 하나요?

만약 침해 사고가 의심된다면 지체하지 말고 신고해 주세요.

• 자체 점검: 헌팅 가이드 보고서를 참고하여 시스템 내 이상 파일/프로세스 확인
• 사고 신고: KISA 보호나라 누리집을 통해 즉시 신고
• 문의처: 한국인터넷진흥원 국번 없이 118