북한 연계 해킹 조직이 마이크로소프트 비주얼 스튜디오 코드(VS코드)의 자동실행 기능을 악용해 암호화폐·웹3 개발자를 노린 악성코드 공격을 지속하고 있다.
IT 보안 매체 더 해커 뉴스(The Hacker News)에 따르면 '전염성 인터뷰(Contagious Interview)' 캠페인으로 알려진 북한 연계 위협 행위자 워터플럼(WaterPlum)은 악성 VS코드 프로젝트를 통해 '스토트와플(StoatWaffle)'로 명명된 악성코드를 유포하고 있다. 이들은 2025년 12월부터 VS코드 설정 파일인 'tasks.json'의 'runOn: folderOpen' 옵션을 활용해 프로젝트 폴더를 열 때마다 악성 작업이 자동 실행되도록 하는 새로운 전술을 구사하고 있다.
일본 보안업체 엔티티티 시큐리티(NTT Security)에 따르면 다운로드된 페이로드는 실행 환경에 노드제이에스(Node.js)가 없을 경우 이를 공식 웹사이트에서 설치한 뒤 외부 서버에 주기적으로 접속하는 다운로더를 실행하는 방식으로 다음 단계 악성 모듈을 순차적으로 내려받는다. 최종적으로 설치되는 스토트와플은 크로미움 기반 브라우저와 파이어폭스에 저장된 계정 정보를 탈취하는 정보 수집 모듈과 감염 호스트에서 원격 명령을 실행하는 원격접근트로이목마(RAT) 모듈 두 가지로 구성된다. 맥오에스 환경에서는 아이클라우드 키체인 데이터베이스도 탈취 대상에 포함된다.
워터플럼의 공격은 VS코드에만 국한되지 않는다. 더 해커 뉴스에 따르면 이 그룹은 악성 npm 패키지를 통해 파이썬 기반 백도어 파일랭고스트(PylangGhost)를 배포하고 있으며 수백 개의 깃허브 공개 저장소에 난독화된 악성 자바스크립트 페이로드를 심는 '폴린라이더(PolinRider)' 캠페인도 병행하고 있다. 뉴트랄리노제이에스(Neutralinojs) 깃허브 조직 저장소 4개가 이번 공격에서 피해를 입은 것으로 전해졌다.
공격의 핵심 수법은 가짜 채용 면접을 통한 사회공학이다. 마이크로소프트에 따르면 워터플럼은 실제 기술 면접과 유사한 채용 절차를 연출해 지원자들이 깃허브·깃랩·비트버킷에 호스팅된 악성 패키지를 실행하도록 유도한다. 특히 주니어 개발자가 아닌 암호화폐·웹3 분야의 창업자·최고기술책임자(CTO)·수석 엔지니어 등 높은 권한을 가진 고위 기술 인력을 표적으로 삼으며 링크드인을 통한 접촉이 주요 경로로 활용된다.
마이크로소프트는 1월 배포된 VS코드 1.109 버전 업데이트에서 'task.allowAutomaticTasks' 설정을 기본값 비활성화로 도입해 악성 저장소의 자동 실행을 차단하는 조치를 취했다. 이어진 2월 1.110 버전에서는 자동 실행 태스크 감지 시 사용자에게 경고하는 알림창도 추가됐다.
한편, 미국 법무부(DoJ)는 최근 북한의 허위 IT 노동자 운영을 돕는 데 관여한 미국인 3명에 대한 선고 결과를 발표했다. 3명 중 2명은 각각 3년 보호관찰과 2천 달러 벌금형을 선고받았으며 나머지 1명은 1년 징역형과 함께 19만 3265달러 몰수 명령을 받았다. 플레어(Flare)와 IBM 엑스포스(IBM X-Force)는 공동 보고서에서 북한 IT 노동자들이 수익 창출과 기업 비밀 탈취 및 금전 갈취를 포함한 북한 정부의 전략적 목표 달성에 핵심적 역할을 수행하고 있다고 분석했다.
헬로티 구서경 기자 |
