북한과 연관된 해커 그룹 문스톤 슬릿(Moonstone Sleet)이 윈도우 시스템을 감염시키기 위해 악성 npm 패키지를 배포한 사실이 드러났다. 데이터독 시큐리티 랩은 최근 이러한 활동을 밝혀내며 이 해커 그룹의 기법과 의도를 자세히 분석했다.
2024년 7월 7일, npm 사용자 "nagasiren978"이 "harthat-api"와 "harthat-hash"라는 패키지를 자바스크립트 패키지 레지스트리에 업로드했다. 이 패키지들은 사전 설치 스크립트를 실행하여 윈도우 환경을 감지하면 외부 서버(142.111.77[.]196)와 연결하여 악성 DLL 파일을 다운로드하고 이를 `rundll32.exe` 바이너리를 사용해 실행하도록 설계되었다. 이 DLL 파일은 겉보기에는 악성 코드가 포함되지 않은 것으로 나타나, 배포 인프라를 테스트하거나 실제 악성 코드를 삽입하기 전에 실수로 푸시되었을 가능성이 제기되었다.
Moonstone Sleet는 신뢰할 수 있는 깃허브 저장소인 "node-config"의 코드를 재사용하고, 사전 설치 스크립트를 포함하도록 수정하는 방법을 사용했다. 이를 통해 node-config 패키지의 신뢰성과 널리 사용되는 점을 악용하여 악성 페이로드를 배포하려는 의도였다.
마이크로소프트 조사에 따르면 Moonstone Sleet는 이러한 패키지를 더 넓은 공격 체인의 일부로 사용했으며, 링크드인을 통해 가짜 회사의 구인 제안이나 기술 평가를 빙자해 피해자에게 페이로드를 실행하도록 유도했다. 이로 인해 자격 증명 탈취 및 SplitLoader와 같은 추가 악성 코드 배포가 이루어졌다.
이번 발견은 Moonstone Sleet에 의해 수행된 더 광범위한 활동의 일부로, 2023년 초부터 트로이 목마화된 소프트웨어(예: PuTTY) 및 악성 게임(DeTankWar)과 같은 다양한 방법을 사용하여 피해자를 감염시키고 있다.
이번 건은 국가사이버안보센터(NCSC)가 안다리엘 및 김수키와 같은 북한 해커 그룹의 증가된 사이버 공격에 대한 경고와 일치한다. 이러한 그룹은 건설 및 기계 부문을 대상으로 Dora RAT 및 TrollAgent와 같은 악성 코드를 사용하여 공격을 수행하고 있다.
이에 보안 전문가들은 개발자 및 조직에게 사용 중인 npm 패키지를 신중히 검토할 것을 권고하며, 특히 다운로드 수가 적고 출처가 불분명한 새로운 패키지에 주의할 것을 경고했다.