오픈 VSX 레지스트리가 개발자 계정 탈취를 통해 글라스웜 악성코드를 배포하는 공급망 공격에 노출됐다.

 

사이버 보안 전문 매체 더 해커 뉴스(The Hacker News)는 사이버 보안 연구진이 오픈 VSX 레지스트리를 겨냥한 공급망 공격 세부 내용을 공개했다고 보도했다. 해당 보도에 따르면 정체가 밝혀지지 않은 위협 행위자가 합법적인 개발자의 자원을 탈취해, 악성 업데이트를 다운스트림 사용자들에게 배포했다.

 

소켓(Socket) 보안 연구원 키릴 보이첸코(Kirill Boychenko)는 2월 2일 발표한 보고서에서 "1월 30일(현지 시간), 오픈 VSX에서 oorzc가 작성한 네 개의 기존 확장 프로그램에 글라스웜(GlassWorm) 악성코드 로더를 삽입한 악성 버전이 게시됐다"고 밝혔다. 그는 이 확장 프로그램들이 이전에는 정상적인 개발자용 유틸리티로 제공됐으며, 일부는 2년 전부터 게시돼 있었고, 악성 버전이 올라오기 전까지 오픈 VSX에서 총 2만2천 회 이상 다운로드됐다고 설명했다.

 

 

공급망 보안 기업 소켓은 이번 공격이 개발자의 게시 자격 증명 탈취를 통해 이뤄졌다고 분석했다. 오픈 VSX 보안팀은 이 사건이 유출된 토큰 또는 기타 비인가 접근을 이용한 것으로 평가했으며, 이후 해당 악성 버전은 모두 오픈 VSX에서 제거됐다.

 

악성 버전이 발견된 확장 프로그램은 FTP/SFTP/SSH Sync Tool(oorzc.ssh-tools — 버전 0.5.1), I18n Tools(oorzc.i18n-tools-plus — 버전 1.6.8), vscode mindmap(oorzc.mind-map — 버전 1.0.61), scss to css(oorzc.scss-to-css-compile — 버전 1.3.4) 등 네 가지로 확인됐다.

 

소켓에 따르면 이른바 ‘오염된’ 버전들은 글라스웜으로 알려진 기존 공격 캠페인과 연관된 로더 악성코드를 전달하도록 설계됐다. 이 로더는 런타임에 내장된 페이로드를 복호화해 실행할 수 있으며, 이더하이딩(EtherHiding)으로 불리는 점점 더 무기화되고 있는 기법을 사용해 명령제어(C2) 서버 주소를 가져온 뒤, 애플 맥OS 자격 증명과 암호화폐 지갑 데이터를 탈취하는 코드를 실행한다.

 

또한 이 악성코드는 감염된 기기를 먼저 프로파일링한 뒤, 시스템 언어 설정이 러시아어 지역(locale)에 해당하지 않는 것으로 확인됐을 때에만 발동되도록 되어 있다. 이는 러시아어나 러시아어권과 연관된 위협 행위자들이 자국 내 기기 감염을 피해 국내 기소를 회피하려 할 때 흔히 사용하는 패턴으로 알려져 있다.

 

악성코드가 수집하는 정보는 모질라 파이어폭스와 크로미움 기반 브라우저에서의 로그인 정보, 쿠키, 인터넷 사용 기록, 메타마스크(MetaMask)와 같은 지갑 확장 프로그램 데이터 등이다. 이와 함께 일렉트럼(Electrum), 엑소더스(Exodus), 아토믹(Atomic), 레저 라이브(Ledger Live), 트레저 스위트(Trezor Suite), 바이낸스(Binance), 톤키퍼(TonKeeper) 등 다양한 암호화폐 지갑 파일과 아이클라우드(iCloud) 키체인 데이터베이스도 탈취 대상에 포함되는 것으로 전해졌다.

 

헬로티 |