북한 해커 그룹 '문스톤 슬릿', 악성 npm 패키지로 윈도우 사용자 공격

북한과 연관된 해커 그룹 문스톤 슬릿(Moonstone Sleet)이 윈도우 시스템을 감염시키기 위해 악성 npm 패키지를 배포한 사실이 드러났다. 데이터독 시큐리티 랩은 최근 이러한 활동을 밝혀내며 이 해커 그룹의 기법과 의도를 자세히 분석했다.

2024년 7월 7일, npm 사용자 "nagasiren978"이 "harthat-api"와 "harthat-hash"라는 패키지를 자바스크립트 패키지 레지스트리에 업로드했다. 이 패키지들은 사전 설치 스크립트를 실행하여 윈도우 환경을 감지하면 외부 서버(142.111.77[.]196)와 연결하여 악성 DLL 파일을 다운로드하고 이를 `rundll32.exe` 바이너리를 사용해 실행하도록 설계되었다. 이 DLL 파일은 겉보기에는 악성 코드가 포함되지 않은 것으로 나타나, 배포 인프라를 테스트하거나 실제 악성 코드를 삽입하기 전에 실수로 푸시되었을 가능성이 제기되었다.

Moonstone Sleet는 신뢰할 수 있는 깃허브 저장소인 "node-config"의 코드를 재사용하고, 사전 설치 스크립트를 포함하도록 수정하는 방법을 사용했다. 이를 통해 node-config 패키지의 신뢰성과 널리 사용되는 점을 악용하여 악성 페이로드를 배포하려는 의도였다.

마이크로소프트 조사에 따르면 Moonstone Sleet는 이러한 패키지를 더 넓은 공격 체인의 일부로 사용했으며, 링크드인을 통해 가짜 회사의 구인 제안이나 기술 평가를 빙자해 피해자에게 페이로드를 실행하도록 유도했다. 이로 인해 자격 증명 탈취 및 SplitLoader와 같은 추가 악성 코드 배포가 이루어졌다.

이번 발견은 Moonstone Sleet에 의해 수행된 더 광범위한 활동의 일부로, 2023년 초부터 트로이 목마화된 소프트웨어(예: PuTTY) 및 악성 게임(DeTankWar)과 같은 다양한 방법을 사용하여 피해자를 감염시키고 있다.

이번 건은 국가사이버안보센터(NCSC)가 안다리엘  및 김수키와 같은 북한 해커 그룹의 증가된 사이버 공격에 대한 경고와 일치한다. 이러한 그룹은 건설 및 기계 부문을 대상으로 Dora RAT 및 TrollAgent와 같은 악성 코드를 사용하여 공격을 수행하고 있다.

이에 보안 전문가들은 개발자 및 조직에게 사용 중인 npm 패키지를 신중히 검토할 것을 권고하며, 특히 다운로드 수가 적고 출처가 불분명한 새로운 패키지에 주의할 것을 경고했다.